Zhvilluesit e platformës mobile LineageOS (ai që zëvendësoi CyanogenMod) ata paralajmëruan rreth identifikimit të gjurmëve të mbetura nga hyrja e paautorizuar në infrastrukturën tuaj. Shtë vërejtur se në orën 6 të mëngjesit (MSK) më 3 maj, sulmuesi arriti të fitojë hyrje në serverin kryesor Sistemi i centralizuar i menaxhimit të konfigurimit SaltStack duke shfrytëzuar dobësinë që nuk është rregulluar deri më tani.
Isshtë raportuar vetëm se sulmi nuk ka ndikuar çelësat për të gjeneruar nënshkrime dixhitale, sistemin e ndërtimit dhe kodin burimor të platformës. Çelësat u vendosën në një host plotësisht të ndarë nga infrastruktura kryesore e menaxhuar përmes SaltStack dhe asambletë u ndaluan për arsye teknike më 30 Prill.
Duke gjykuar nga të dhënat në faqen status.lineageos.org, zhvilluesit tashmë kanë restauruar serverin me sistemin e rishikimit të kodit, faqen e internetit dhe wiki të Gerrit. Serverë me ndërtime (builds.lineageos.org), portal shkarkimi të skedarëve (shkarko.lineageos.org), serverat e postës dhe një sistem për të koordinuar përcjelljen në pasqyra aktualisht janë me aftësi të kufizuara.
Për vendimin
Një azhurnim u lëshua më 29 Prill nga platforma SaltStack 3000.2 dhe katër ditë më vonë (2 maj) u eliminuan dy dobësi.
Problemi qëndron në të cilën, nga dobësitë që u raportuan, njëri u botua më 30 prill dhe iu caktua niveli më i lartë i rrezikut (këtu rëndësia e publikimit të informacionit disa ditë ose javë pas zbulimit të tij dhe lëshimit të rregullimeve ose rregullimeve të defekteve në kod).
Meqenëse defekt në kod lejon një përdorues të paautorizuar të kryejë ekzekutimin e kodit në distancë si host kontrollues (master-kripë) dhe të gjithë serverat e menaxhuar përmes tij.
Sulmi u bë i mundur nga fakti që porti i rrjetit 4506 (për të hyrë në SaltStack) nuk ishte bllokuar nga firewall për kërkesa të jashtme dhe në të cilën sulmuesi duhej të priste për të vepruar para se zhvilluesit e Lineage SaltStack dhe ekspluatarovat të përpiqen të instalojnë një azhurnim për të korrigjuar dështimin.
Të gjithë përdoruesit e SaltStack këshillohen që të azhurnojnë urgjentisht sistemet e tyre dhe të kontrollojnë për shenja piraterie.
Me sa duket, sulmet përmes SaltStack nuk ishin të kufizuara vetëm në ndikimin e LineageOS dhe u përhapën gjatë ditës, disa përdorues të cilët nuk kishin kohë për të rinovuar SaltStack vunë re se infrastrukturat e tyre ishin komprometuar nga kodi i mbajtjes së minierave ose dyert e pasme.
Ai gjithashtu raporton një sulm të ngjashëm në infrastruktura e sistemit të menaxhimit të përmbajtjes Fantazëm, çfarëNdikoi në faqet dhe faturimin e Ghost (Pro) (pretendohet se numrat e kartave të kreditit nuk u prekën, por lidhjet e fjalëkalimeve të përdoruesve të Ghost mund të bien në duart e sulmuesve).
- Dobësia e parë (CVE-2020-11651) shkaktohet nga mungesa e kontrolleve të duhura kur thirren metodat e klasës ClearFuncs në procesin e kripës. Dobësia lejon që një përdorues në distancë të ketë qasje në metoda të caktuara pa vërtetim. Në veçanti, përmes metodave problematike, një sulmues mund të marrë një shenjë për hyrjen e rrënjës në serverin kryesor dhe të ekzekutojë çdo komandë në hostet e servirura që ekzekutojnë daemonin e kripës. Një copë toke u lançua 20 ditë më parë që rregullon këtë cenueshmëri, por pasi u shfaq aplikimi i saj, kishte ndryshime të prapambetura që shkaktuan prishje dhe ndërprerje të sinkronizimit të skedarit.
- Dobësia e dytë (CVE-2020-11652) lejon, përmes manipulimeve me klasën ClearFuncs, hyrjen në metodat përmes transferimit të shtigjeve të përcaktuara në një mënyrë të caktuar, të cilat mund të përdoren për qasje të plotë në drejtoritë arbitrare në FS të serverit master me privilegjet e rrënjës, por kjo kërkon qasje të vërtetuar ( një qasje e tillë mund të merret duke përdorur cenueshmërinë e parë dhe duke përdorur cenueshmërinë e dytë për të kompromentuar plotësisht të gjithë infrastrukturën).