Програмери мобилне платформе ЛинеагеОС (онај који је заменио ЦианогенМод) упозоравали су о идентификацији трагова који су остали од неовлашћеног приступа вашој инфраструктури. Примећује се да је у 6 сати ујутру (МСК) 3. маја год. нападач је успео да добије приступ главном серверу СалтСтацк централизованог система за управљање конфигурацијом искоришћавањем рањивости која до сада није закрпљена.
Извештено је само да напад није утицао кључеви за генерисање дигиталних потписа, систем изградње и изворни код платформе. Кључеви су постављени на хост потпуно одвојен од главне инфраструктуре којом се управља преко СалтСтацк-а, а склопови су заустављени из техничких разлога 30. априла.
Судећи према подацима на страници статус.линеагеос.орг, програмери су већ обновили сервер помоћу Геррит-овог система за преглед кода, веб странице и вики-а. Сервери са буилдовима (буилдс.линеагеос.орг), портал за преузимање датотека (довнлоад.линеагеос.орг), поштански сервери и систем за координацију прослеђивања на огледала тренутно су онемогућени.
О пресуди
Ажурирање је објављено 29. априла са платформе СалтСтацк 3000.2 и четири дана касније (2. маја) елиминисане су две рањивости.
Проблем је у томе у којој су од рањивости које су пријављене, један је објављен 30. априла и додељен му је највиши ниво опасности (овде је важност објављивања информација неколико дана или недеља након откривања и објављивања исправки грешака или закрпа).
С обзиром на то да мана омогућава неовлашћеном кориснику да изврши даљинско извршавање кода као контролни хост (мастер-сол) и сви сервери којима се њиме управља.
Напад је омогућила чињеница да мрежни порт 4506 (за приступ СалтСтацку) није блокирао заштитни зид за спољне захтеве и у којем је нападач морао да сачека да делује пре него што програмери Линеаге СалтСтацк и експлуатароват покушају да инсталирају ажурирање за исправљање квара.
Свим корисницима СалтСтацка саветује се да хитно ажурирају своје системе и провере да ли има знакова хаковања.
Очигледно напади преко СалтСтацк-а нису били ограничени само на утицај на ЛинеагеОС и постала широко распрострањена током дана, неколико корисника који нису имали времена да ажурирају СалтСтацк приметили су да је њихова инфраструктура угрожена рударским хостинг кодом или задњим вратима.
Такође извештава о сличном хаковању инфраструктура система за управљање садржајем Дух, штаУтицало је на Гхост (Про) веб локације и рачуне (наводно бројеви кредитних картица нису били погођени, али хеш лозинке корисника Гхост корисника могао би пасти у руке нападача).
- Прва рањивост (ЦВЕ-2020-11651) узрокован је недостатком правилних провера приликом позивања метода класе ЦлеарФунцс у процесу соли-мастер. Рањивост омогућава удаљеном кориснику да приступи одређеним методама без потврде идентитета. Конкретно, кроз проблематичне методе, нападач може добити токен за роот приступ главном серверу и извршити било коју наредбу на услуженим хостовима који покрећу демон-соли-миниона. Пре 20 дана објављена је закрпа која поправља ову рањивост, али након што се појавила њена апликација, уследиле су промене које су узроковале падове и прекиде синхронизације датотека.
- Друга рањивост (ЦВЕ-2020-11652) омогућава, кроз манипулације са класом ЦлеарФунцс, приступ методама путем преноса путања дефинисаних на одређени начин, које се могу користити за пуни приступ произвољним директоријумима на ФС главног сервера са роот привилегијама, али захтева овјерени приступ ( такав приступ се може добити коришћењем прве рањивости и употребом друге рањивости за потпуно компромитовање целокупне инфраструктуре).