Разработчики мобильной платформы LineageOS (тот, что заменил CyanogenMod) они предупредили об идентификации следов несанкционированного доступа к вашей инфраструктуре. Замечено, что 6 мая в 3 часов утра (мск) злоумышленнику удалось получить доступ к основному серверу централизованной системы управления конфигурацией SaltStack, используя уязвимость, которая до сих пор не была исправлена.
Сообщается только, что атака не коснулась ключи для генерации цифровых подписей, система сборки и исходный код платформы. Ключи были размещены на хосте, полностью отделенном от основной инфраструктуры, управляемой через SaltStack, и 30 апреля сборка была остановлена по техническим причинам.
Судя по данным на странице status.lineageos.org, разработчики уже восстановили сервер с системой обзора кода Gerrit, сайтом и вики. Сервера со сборками (builds.lineageos.org), портал загрузки файлов (download.lineageos.org), почтовые серверы и система координации пересылки на зеркала в настоящее время отключены.
О постановлении
Обновление вышло 29 апреля. с платформы SaltStack 3000.2 и четыре дня спустя (2 мая) устранены две уязвимости.
Проблема в том в котором из обнаруженных уязвимостей, один был опубликован 30 апреля и ему был присвоен высший уровень опасности (здесь важность публикации информации через несколько дней или недель после ее обнаружения и выпуска патчей или исправлений ошибок).
Поскольку ошибка позволяет неаутентифицированному пользователю выполнять удаленное выполнение кода в качестве управляющего хоста (salt-master) и всех серверов, управляемых через него.
Атака стала возможной благодаря тому, что сетевой порт 4506 (для доступа к SaltStack) не был заблокирован межсетевым экраном для внешних запросов и в котором злоумышленник должен был ждать, чтобы действовать, прежде чем разработчики Lineage SaltStack и эксплуатароват попытаются установить обновление для исправления ошибки.
Всем пользователям SaltStack рекомендуется срочно обновить свои системы и проверить наличие признаков взлома.
По всей видимости, атаки через SaltStack не ограничивались только воздействием на LineageOS и получил широкое распространение в течение дня, несколько пользователей, не успевших обновить SaltStack, заметили, что их инфраструктуры были скомпрометированы из-за майнинга кода хостинга или бэкдордов.
Он также сообщает о подобном взломе инфраструктура системы управления контентом Призрак, чтоЭто затронуло сайты Ghost (Pro) и биллинг (утверждается, что номера кредитных карт не пострадали, но хэши паролей пользователей Ghost могли попасть в руки злоумышленников).
- Первая уязвимость (CVE-2020-11651) это вызвано отсутствием надлежащих проверок при вызове методов класса ClearFuncs в процессе salt-master. Уязвимость позволяет удаленному пользователю получить доступ к определенным методам без аутентификации. В частности, с помощью проблемных методов злоумышленник может получить токен для корневого доступа к главному серверу и выполнить любую команду на обслуживаемых хостах, на которых запущен демон salt-minion. Двадцать дней назад был выпущен патч, устраняющий эту уязвимость, но после появления его применения произошли обратные изменения, которые вызвали зависания и прерывание синхронизации файлов.
- Вторая уязвимость (CVE-2020-11652) позволяет посредством манипуляций с классом ClearFuncs доступ к методам посредством передачи определенных определенным образом путей, которые могут использоваться для полного доступа к произвольным каталогам на ФС главного сервера с правами root, но для этого требуется аутентифицированный доступ ( такой доступ можно получить, используя первую уязвимость и используя вторую уязвимость, чтобы полностью скомпрометировать всю инфраструктуру).