Серверы LineageOS недавно были взломаны

Разработчики мобильной платформы LineageOS (тот, что заменил CyanogenMod) они предупредили об идентификации следов несанкционированного доступа к вашей инфраструктуре. Замечено, что 6 мая в 3 часов утра (мск) злоумышленнику удалось получить доступ к основному серверу централизованной системы управления конфигурацией SaltStack, используя уязвимость, которая до сих пор не была исправлена.

Сообщается только, что атака не коснулась ключи для генерации цифровых подписей, система сборки и исходный код платформы. Ключи были размещены на хосте, полностью отделенном от основной инфраструктуры, управляемой через SaltStack, и 30 апреля сборка была остановлена ​​по техническим причинам.

Судя по данным на странице status.lineageos.org, разработчики уже восстановили сервер с системой обзора кода Gerrit, сайтом и вики. Сервера со сборками (builds.lineageos.org), портал загрузки файлов (download.lineageos.org), почтовые серверы и система координации пересылки на зеркала в настоящее время отключены.

О постановлении

Обновление вышло 29 апреля. с платформы SaltStack 3000.2 и четыре дня спустя (2 мая) устранены две уязвимости.

Проблема в том в котором из обнаруженных уязвимостей, один был опубликован 30 апреля и ему был присвоен высший уровень опасности (здесь важность публикации информации через несколько дней или недель после ее обнаружения и выпуска патчей или исправлений ошибок).

Поскольку ошибка позволяет неаутентифицированному пользователю выполнять удаленное выполнение кода в качестве управляющего хоста (salt-master) и всех серверов, управляемых через него.

Атака стала возможной благодаря тому, что сетевой порт 4506 (для доступа к SaltStack) не был заблокирован межсетевым экраном для внешних запросов и в котором злоумышленник должен был ждать, чтобы действовать, прежде чем разработчики Lineage SaltStack и эксплуатароват попытаются установить обновление для исправления ошибки.

Всем пользователям SaltStack рекомендуется срочно обновить свои системы и проверить наличие признаков взлома.

По всей видимости, атаки через SaltStack не ограничивались только воздействием на LineageOS и получил широкое распространение в течение дня, несколько пользователей, не успевших обновить SaltStack, заметили, что их инфраструктуры были скомпрометированы из-за майнинга кода хостинга или бэкдордов.

Он также сообщает о подобном взломе инфраструктура системы управления контентом Призрак, чтоЭто затронуло сайты Ghost (Pro) и биллинг (утверждается, что номера кредитных карт не пострадали, но хэши паролей пользователей Ghost могли попасть в руки злоумышленников).

  • Первая уязвимость (CVE-2020-11651) это вызвано отсутствием надлежащих проверок при вызове методов класса ClearFuncs в процессе salt-master. Уязвимость позволяет удаленному пользователю получить доступ к определенным методам без аутентификации. В частности, с помощью проблемных методов злоумышленник может получить токен для корневого доступа к главному серверу и выполнить любую команду на обслуживаемых хостах, на которых запущен демон salt-minion. Двадцать дней назад был выпущен патч, устраняющий эту уязвимость, но после появления его применения произошли обратные изменения, которые вызвали зависания и прерывание синхронизации файлов.
  • Вторая уязвимость (CVE-2020-11652) позволяет посредством манипуляций с классом ClearFuncs доступ к методам посредством передачи определенных определенным образом путей, которые могут использоваться для полного доступа к произвольным каталогам на ФС главного сервера с правами root, но для этого требуется аутентифицированный доступ ( такой доступ можно получить, используя первую уязвимость и используя вторую уязвимость, чтобы полностью скомпрометировать всю инфраструктуру).

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.