Vývojári mobilnej platformy LineageOS (ten, ktorý nahradil CyanogenMod) varovali o identifikácii stopy po neoprávnenom prístupe na vašu infraštruktúru. Pozoruje sa, že o 6. hodine ráno (MSK) 3. mája útočníkovi sa podarilo získať prístup na hlavný server systému centralizovanej správy konfigurácií SaltStack využívaním zraniteľnosti, ktorá doteraz nebola opravená.
Uvádza sa iba to, že útok nemal vplyv kľúče na generovanie digitálnych podpisov, systém budovania a zdrojový kód platformy. Kľúče boli umiestnené na hostiteľovi úplne oddelenom od hlavnej infraštruktúry spravovanej cez SaltStack a zhromaždenia boli z technických dôvodov zastavené 30. apríla.
Podľa údajov na stránke status.lineageos.org vývojári už obnovili server pomocou Gerritovho systému na kontrolu kódu, webových stránok a wiki. Servery s buildmi (builds.lineageos.org), portál na stiahnutie súborov (download.lineageos.org)poštové servery a systém na koordináciu smerovania zrkadiel sú momentálne zakázané.
O rozsudku
Aktualizácia bola vydaná 29. apríla z platformy SaltStack 3000.2 a o štyri dni neskôr (2. mája) boli odstránené dve zraniteľné miesta.
Problém tkvie v ktorých zo zraniteľností, ktoré boli hlásené, jeden bol zverejnený 30. apríla a bol mu určený najvyšší stupeň nebezpečenstva (tu je dôležité zverejniť informácie niekoľko dní alebo týždňov po ich objavení a vydaní opráv alebo opráv chýb).
Pretože chyba umožňuje neoverenému používateľovi vykonávať vzdialené vykonávanie kódu ako riadiaci hostiteľ (soľný master) a všetky servery ním riadené.
Útok umožnil fakt, že sieťový port 4506 (pre prístup k SaltStack) nebol blokovaný firewallom pre externé požiadavky a v ktorom musel útočník počkať, kým bude konať, kým sa vývojári Lineage SaltStack a ekspluatarovat pokúsia nainštalovať aktualizácia na odstránenie chyby.
Všetkým používateľom SaltStack sa odporúča, aby urgentne aktualizovali svoje systémy a skontrolovali prítomnosť hackerov.
zdá sa, útoky cez SaltStack sa neobmedzovali iba na ovplyvnenie LineageOS a počas dňa sa rozšírilo, niekoľko používateľov, ktorí nemali čas na aktualizáciu programu SaltStack, si všimlo, že ich infraštruktúry boli narušené ťažbou kódu hostenia alebo zadných vrátok.
Podobný hacker tiež hlási infraštruktúra systému na správu obsahu Duch, čoOvplyvnilo to stránky Ghost (Pro) a fakturáciu (čísla kreditných kariet údajne nie sú ovplyvnené, ale hashy hesiel používateľov Ducha by sa mohli dostať do rúk útočníkom).
- Prvá chyba zabezpečenia (CVE-2020-11651) je to spôsobené nedostatkom správnych kontrol pri volaní metód triedy ClearFuncs v procese salt-master. Zraniteľnosť umožňuje vzdialenému používateľovi prístup k určitým metódam bez autentifikácie. Útočník môže najmä prostredníctvom problematických metód získať token pre prístup root k hlavnému serveru a vykonať akýkoľvek príkaz na obsluhovaných hostiteľoch, na ktorých je spustený démon salt-minion. Pred 20 dňami bola vydaná opravná aktualizácia, ktorá túto zraniteľnosť opravuje, ale po objavení sa jej aplikácie došlo k spätným zmenám, ktoré spôsobili zamrznutie a prerušenie synchronizácie súborov.
- Druhá zraniteľnosť (CVE-2020-11652) umožňuje prostredníctvom manipulácií s triedou ClearFuncs prístup k metódam prostredníctvom prenosu ciest definovaných určitým spôsobom, ktorý je možné použiť na úplný prístup k ľubovoľným adresárom na FS hlavného servera s oprávneniami root, vyžaduje však autentizovaný prístup ( takýto prístup je možné získať pomocou prvej zraniteľnosti a pomocou druhej zraniteľnosti na úplné narušenie celej infraštruktúry).