Razvijalci mobilne platforme LineageOS (tisti, ki je nadomestil CyanogenMod) so opozorili o identifikaciji sledi nepooblaščenega dostopa do vaše infrastrukture. Opaziti je, da je bil 6. maja ob 3. uri zjutraj (MSK) napadalcu je uspelo pridobiti dostop do glavnega strežnika centraliziranega sistema za upravljanje konfiguracije SaltStack z izkoriščanjem do zdaj še ne popravljene ranljivosti.
Poročajo le, da napad ni vplival tipke za ustvarjanje digitalnih podpisov, sistem gradnje in izvorno kodo platforme. Ključi so bili nameščeni na gostitelju, popolnoma ločenem od glavne infrastrukture, ki jo upravlja SaltStack, sklopi pa so bili zaradi tehničnih razlogov ustavljeni 30. aprila.
Sodeč po podatkih na strani status.lineageos.org so razvijalci strežnik že obnovili z Gerritovim sistemom za pregled kode, spletnim mestom in wikijem. Strežniki z zgradbami (builds.lineageos.org), portal za prenos datotek (download.lineageos.org), poštni strežniki in sistem za koordinacijo posredovanja v ogledala so trenutno onemogočeni.
O razsodbi
Posodobitev je izšla 29. aprila platforme SaltStack 3000.2 in štiri dni kasneje (2. maja) dve ranljivosti sta bili odpravljeni.
Težava je v tem v katerem so od prijavljenih ranljivosti ena je bila objavljena 30. aprila in ji je bila dodeljena najvišja stopnja nevarnosti (tukaj je pomen objave informacij nekaj dni ali tednov po odkritju in sprostitvi popravkov napak ali popravkov).
Ker napaka omogoča nepooblaščenemu uporabniku izvajanje oddaljene izvedbe kode kot nadzornega gostitelja (master-master) in vseh strežnikov, ki se upravljajo prek nje.
Napad je omogočilo dejstvo, da požarni zid za zunanje zahteve ni blokiral omrežnih vrat 4506 (za dostop do SaltStacka) in v katerem je moral napadalec počakati, da ukrepa, preden bodo razvijalci Lineage SaltStack in ekspluatarovat poskusili namestiti posodobitev za odpravo napake.
Vsem uporabnikom SaltStacka svetujemo, naj nujno posodobijo svoje sisteme in preverijo znake vdora.
Očitno napadi prek SaltStacka niso bili omejeni le na vplivanje na LineageOS in se čez dan razširil, je več uporabnikov, ki niso imeli časa za posodobitev SaltStacka, opazilo, da je njihova infrastruktura ogrožena zaradi rudarjenja kode za gostovanje ali zadnjih vrat.
Poroča tudi o podobnem kramljanju infrastrukturo sistema za upravljanje vsebin Duh, kajVplivalo je na mesta Ghost (Pro) in obračunavanje (menda številke kreditnih kartic niso bile prizadete, vendar bi lahko gesla uporabnikov Ghost padla v roke napadalcev).
- Prva ranljivost (CVE-2020-11651) vzrok za to je pomanjkanje ustreznih preverjanj pri klicanju metod razreda ClearFuncs v postopku sol-master. Ranljivost omogoča oddaljenemu uporabniku dostop do določenih metod brez preverjanja pristnosti. Zlasti s pomočjo problematičnih metod lahko napadalec pridobi žeton za korenski dostop do glavnega strežnika in izvrši kateri koli ukaz na streženih gostiteljih, ki zaženejo demon-sol-minion. Pred dvajsetimi dnevi je bil izdan popravek, ki je odpravil to ranljivost, toda po pojavu aplikacije je prišlo do sprememb, ki so povzročile zamrznitev in prekinitev sinhronizacije datotek.
- Druga ranljivost (CVE-2020-11652) z manipulacijami z razredom ClearFuncs omogoča dostop do metod prek prenosa poti, določenih na določen način, ki se lahko uporabljajo za popoln dostop do poljubnih imenikov na FS glavnega strežnika s korenskimi privilegiji, vendar zahteva overjen dostop ( tak dostop je mogoče dobiti s prvo ranljivostjo in z drugo ranljivostjo, da popolnoma ogrozi celotno infrastrukturo).