Desenvolvedores da plataforma móvel LineageOS (aquele que substituiu CyanogenMod) eles avisaram sobre identificação de vestígios deixados de acesso não autorizado em sua infraestrutura. Observa-se que às 6 horas da manhã (MSK) do dia 3 de maio, o invasor conseguiu obter acesso ao servidor principal SaltStack centralizou o sistema de gerenciamento de configuração, explorando a vulnerabilidade que não foi corrigida até agora.
É relatado apenas que o ataque não afetou as chaves para gerar assinaturas digitais, o sistema de compilação e o código-fonte da plataforma. As chaves foram colocadas em um host completamente separado da infraestrutura principal gerenciada por meio do SaltStack e as montagens foram interrompidas por motivos técnicos em 30 de abril.
A julgar pelos dados na página status.lineageos.org, os desenvolvedores já restauraram o servidor com o sistema de revisão de código, site e wiki de Gerrit. Servidores com compilações (builds.lineageos.org), o portal de download de arquivos (download.lineageos.org), servidores de e-mail e um sistema para coordenar o encaminhamento para espelhos estão atualmente desativados.
Sobre a decisão
Uma atualização foi lançada em 29 de abril da plataforma SaltStack 3000.2 e quatro dias depois (2 de maio) duas vulnerabilidades foram eliminadas.
O problema reside em que, das vulnerabilidades que foram relatadas, um foi publicado em 30 de abril e foi atribuído o mais alto nível de perigo (aqui a importância de publicar as informações vários dias ou semanas após sua descoberta e lançamento de patches ou correções de bugs).
Uma vez que o bug permite que um usuário não autenticado execute a execução remota de código como o host de controle (salt-master) e todos os servidores gerenciados por meio dele.
O ataque foi possível porque a porta de rede 4506 (para acessar o SaltStack) não foi bloqueada pelo firewall para solicitações externas e na qual o invasor teve que esperar para agir antes que os desenvolvedores do Lineage SaltStack e ekspluatarovat tentassem instalar uma atualização para corrigir a falha.
Todos os usuários do SaltStack são aconselhados a atualizar seus sistemas com urgência e verificar se há sinais de invasão.
Aparentemente ataques via SaltStack não se limitaram apenas a afetar o LineageOS e se espalhou durante o dia, vários usuários que não tiveram tempo para atualizar o SaltStack perceberam que suas infraestruturas foram comprometidas pela mineração de código de hospedagem ou backdoors.
Ele também relata um hack semelhante no a infraestrutura do sistema de gerenciamento de conteúdo Fantasma o queIsso afetou os sites e o faturamento do Ghost (Pro) (alega-se que os números de cartão de crédito não foram afetados, mas os hashes de senha dos usuários do Ghost podem cair nas mãos de invasores).
- A primeira vulnerabilidade (CVE-2020-11651) é causado pela falta de verificações adequadas ao chamar os métodos da classe ClearFuncs no processo salt-master. A vulnerabilidade permite que um usuário remoto acesse certos métodos sem autenticação. Em particular, por meio de métodos problemáticos, um invasor pode obter um token para acesso root ao servidor mestre e executar qualquer comando nos hosts servidos que executam o daemon salt-minion. Um patch foi lançado 20 dias atrás que corrige essa vulnerabilidade, mas depois que seu aplicativo apareceu, houve alterações anteriores que causaram travamentos e interrupções na sincronização de arquivos.
- A segunda vulnerabilidade (CVE-2020-11652) permite, através de manipulações com a classe ClearFuncs, acesso aos métodos através da transferência de caminhos definidos de uma determinada forma, que podem ser utilizados para acesso total a diretórios arbitrários no FS do servidor master com privilégios de root, mas requer acesso autenticado ( esse acesso pode ser obtido usando a primeira vulnerabilidade e usando a segunda vulnerabilidade para comprometer completamente toda a infraestrutura).