Dezvoltatori ai platformei mobile LineageOS (cel care a înlocuit CyanogenMod) au avertizat despre identificare de urme rămase din accesul neautorizat la infrastructura dvs. Se observă că la ora 6 dimineața (MSK) pe 3 mai, atacatorul a reușit să obțină acces la serverul principal SaltStack a centralizat sistemul de gestionare a configurației prin exploatarea vulnerabilității care nu a fost reparată până acum.
Este raportat doar că atacul nu a afectat cheile pentru a genera semnături digitale, sistemul de construire și codul sursă al platformei. Cheile au fost plasate pe o gazdă complet separată de infrastructura principală administrată prin SaltStack, iar ansamblurile au fost oprite din motive tehnice pe 30 aprilie.
Judecând după datele de pe pagina status.lineageos.org, dezvoltatorii au restaurat deja serverul cu sistemul de revizuire a codului Gerrit, site-ul web și wiki. Servere cu versiuni (builds.lineageos.org), portal de descărcare de fișiere (download.lineageos.org), servere de mail și un sistem de coordonare a redirecționării către oglinzi sunt dezactivate în prezent.
Despre hotărâre
O actualizare a fost lansată pe 29 aprilie de pe platforma SaltStack 3000.2 și patru zile mai târziu (2 mai) au fost eliminate două vulnerabilități.
Problema stă în care, dintre vulnerabilitățile raportate, unul a fost publicat pe 30 aprilie și i s-a atribuit cel mai înalt nivel de pericol (aici este importanța publicării informațiilor la câteva zile sau săptămâni după descoperirea și lansarea de patch-uri sau remedieri de erori).
Deoarece bug-ul permite unui utilizator neautentificat să efectueze executarea codului la distanță ca gazdă de control (salt-master) și toate serverele gestionate prin intermediul acestuia.
Atacul a fost posibil datorită faptului că portul de rețea 4506 (pentru a accesa SaltStack) nu a fost blocat de firewall pentru solicitări externe și în care atacatorul a trebuit să aștepte să acționeze înainte ca dezvoltatorii Lineage SaltStack și ekspluatarovat să încerce să instaleze o actualizare pentru a corecta eșecul.
Toți utilizatorii SaltStack sunt sfătuiți să își actualizeze de urgență sistemele și să verifice dacă există semne de hacking.
aparent, atacurile prin SaltStack nu s-au limitat doar la afectarea LineageOS și s-a răspândit pe parcursul zilei, mai mulți utilizatori care nu au avut timp să actualizeze SaltStack au observat că infrastructurile lor au fost compromise prin extragerea codului de găzduire sau a ușilor din spate.
De asemenea, el raportează un hack similar infrastructura sistemului de management al conținutului Duhul, ceA afectat site-urile Ghost (Pro) și facturarea (se presupune că numerele cardurilor de credit nu au fost afectate, dar hashurile de parolă ale utilizatorilor Ghost ar putea cădea în mâinile atacatorilor).
- Prima vulnerabilitate (CVE-2020-11651) este cauzat de lipsa unor verificări adecvate la apelarea metodelor clasei ClearFuncs în procesul salt-master. Vulnerabilitatea permite unui utilizator la distanță să acceseze anumite metode fără autentificare. În special, prin metode problematice, un atacator poate obține un jeton pentru accesul root la serverul principal și poate executa orice comandă pe gazdele servite care rulează daemonul minion de sare. A fost lansat acum 20 de zile un patch care remediază această vulnerabilitate, dar după ce a apărut aplicația sa, au existat modificări înapoi care au provocat blocarea și întreruperea sincronizării fișierelor.
- A doua vulnerabilitate (CVE-2020-11652) permite, prin manipulări cu clasa ClearFuncs, accesul la metode prin transferul căilor definite într-un anumit mod, care pot fi utilizate pentru acces complet la directoare arbitrare pe FS ale serverului master cu privilegii root, dar necesită acces autentificat ( un astfel de acces poate fi obținut folosind prima vulnerabilitate și folosind a doua vulnerabilitate pentru a compromite complet întreaga infrastructură).