Utvecklare av LineageOS mobilplattform (den som ersatte CyanogenMod) de varnade om identifiering Spår kvar från obehörig åtkomst i din infrastruktur. Det observeras att klockan sex på morgonen (MSK) den 6 maj, angriparen lyckades få tillgång till huvudservern i SaltStack centraliserade konfigurationshanteringssystem genom att utnyttja sårbarheten som hittills inte har korrigerats.
Det rapporteras bara att attacken inte påverkade nycklarna för att skapa digitala signaturer, plattformens byggsystem och källkod. Nycklarna placerades på en värd helt separat från huvudinfrastrukturen som hanterades via SaltStack och församlingen stoppades av tekniska skäl den 30 april.
Att döma av data på status.lineageos.org-sidan har utvecklarna redan återställt servern med Gerrits kodgranskningssystem, webbplats och wiki. Servrar med builds (builds.lineageos.org), den ladda ner portal av filer (download.lineageos.org), e-postservrar och ett system för att samordna vidarebefordran till speglar är för närvarande inaktiverade.
Om beslutet
En uppdatering släpptes den 29 april på SaltStack 3000.2-plattformen och fyra dagar senare (2 maj) två sårbarheter eliminerades.
Problemet ligger där, av de sårbarheter som rapporterats, en publicerades den 30 april och tilldelades den högsta nivån av fara (här vikten av att publicera informationen flera dagar eller veckor efter upptäckten och släppandet av felkorrigeringar eller korrigeringar).
Eftersom felet tillåter en oautentiserad användare att utföra fjärrkodkörning som den kontrollerande värden (salt-master) och alla servrar som hanteras genom den.
Attacken möjliggjordes av det faktum att nätverksporten 4506 (för att komma åt SaltStack) inte blockerades av brandväggen för externa förfrågningar och där angriparen fick vänta med att agera innan utvecklarna av Lineage SaltStack och ekspluatarovat kommer att försöka installera en uppdatering för att rätta till felet.
Alla SaltStack-användare rekommenderas att omgående uppdatera sina system och söka efter tecken på hacking.
Tydligen, attacker via SaltStack begränsades inte bara till att påverka LineageOS och blev utbredd under dagen, flera användare som inte hade tid att uppdatera SaltStack märkte att deras infrastruktur komprometterades av gruvdriftkod eller bakdörrar.
Han rapporterar också ett liknande hack på innehållshanteringssystemets infrastruktur Spöke, vadDet påverkade Ghost (Pro) -sidor och fakturering (det påstås att kreditkortsnummer inte påverkades, men lösenordshashen av Ghost-användare kan hamna i angriparnas händer).
- Den första sårbarheten (CVE-2020-11651) det orsakas av avsaknaden av korrekta kontroller när man anropar metoderna i ClearFuncs-klassen i salt-master-processen. Sårbarheten tillåter en fjärranvändare att komma åt vissa metoder utan autentisering. I synnerhet, genom problematiska metoder, kan en angripare få en token för root-åtkomst till huvudservern och utföra alla kommandon på de serverade värdarna som kör salt-minion-demon. För tjugo dagar sedan släpptes en korrigeringsfil som åtgärdar denna sårbarhet, men efter att applikationen visats fanns det bakåtändringar som orsakade frysningar och avbrott i filsynkroniseringen.
- Den andra sårbarheten (CVE-2020-11652) tillåter, genom manipulationer med klassen ClearFuncs, åtkomst till metoder genom överföring av banor som definierats på ett visst sätt, som kan användas för full åtkomst till godtyckliga kataloger på FS-servern med huvudserver, men det kräver autentiserad åtkomst ( sådan åtkomst kan erhållas med den första sårbarheten och med den andra sårbarheten för att helt kompromissa med hela infrastrukturen).