ผู้พัฒนาแพลตฟอร์มมือถือ LineageOS (ตัวที่มาแทนที่ CyanogenMod) พวกเขาเตือน เกี่ยวกับการระบุตัวตน ร่องรอยที่หลงเหลือจากการเข้าถึงโครงสร้างพื้นฐานของคุณโดยไม่ได้รับอนุญาต เป็นที่สังเกตว่าเวลา 6 โมงเช้า (MSK) ของวันที่ 3 พฤษภาคม ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์หลักได้ ของระบบจัดการคอนฟิกูเรชันแบบรวมศูนย์ SaltStack โดยใช้ประโยชน์จากช่องโหว่ที่ยังไม่ได้รับการแก้ไข
มีรายงานเพียงว่าการโจมตีไม่ส่งผลกระทบ กุญแจสำคัญในการสร้างลายเซ็นดิจิทัล ระบบสร้างและซอร์สโค้ดของแพลตฟอร์ม คีย์ถูกวางไว้บนโฮสต์โดยแยกจากโครงสร้างพื้นฐานหลักที่จัดการผ่าน SaltStack และชุดประกอบหยุดลงด้วยเหตุผลทางเทคนิคในวันที่ 30 เมษายน
เมื่อพิจารณาจากข้อมูลในเพจ status.lineageos.org นักพัฒนาได้กู้คืนเซิร์ฟเวอร์ด้วยระบบตรวจสอบโค้ดเว็บไซต์และวิกิของ Gerrit แล้ว เซิร์ฟเวอร์ที่มีการสร้าง (builds.lineageos.org), ไฟล์ ดาวน์โหลดพอร์ทัล ของไฟล์ (download.lineageos.org)เซิร์ฟเวอร์อีเมล และระบบประสานการส่งต่อไปยังมิเรอร์ ถูกปิดใช้งานอยู่ในขณะนี้
เกี่ยวกับการพิจารณาคดี
การอัปเดตเผยแพร่เมื่อวันที่ 29 เมษายน จากแพลตฟอร์ม SaltStack 3000.2 และสี่วันต่อมา (2 พฤษภาคม) ช่องโหว่สองช่องถูกกำจัด
ปัญหาอยู่ที่ ซึ่งจากช่องโหว่ที่มีการรายงาน มีการเผยแพร่เมื่อวันที่ 30 เมษายนและได้รับมอบหมายให้อยู่ในระดับอันตรายสูงสุด (ต่อไปนี้เป็นความสำคัญของการเผยแพร่ข้อมูลหลายวันหรือหลายสัปดาห์หลังจากการค้นพบและเผยแพร่การแก้ไขข้อบกพร่องหรือแพตช์)
เนื่องจากข้อบกพร่องช่วยให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนสามารถดำเนินการโค้ดระยะไกลในฐานะโฮสต์ควบคุม (salt-master) และเซิร์ฟเวอร์ทั้งหมดที่จัดการผ่านมัน
การโจมตีเกิดขึ้นได้จากข้อเท็จจริงที่ว่าพอร์ตเครือข่าย 4506 (เพื่อเข้าถึง SaltStack) ไม่ได้ถูกปิดกั้นโดยไฟร์วอลล์สำหรับคำขอภายนอกและผู้โจมตีต้องรอให้ดำเนินการก่อนที่ผู้พัฒนา Lineage SaltStack และ ekspluatarovat จะพยายามติดตั้ง การอัปเดตเพื่อแก้ไขความล้มเหลว
ขอแนะนำให้ผู้ใช้ SaltStack ทุกคนอัปเดตระบบอย่างเร่งด่วนและตรวจสอบสัญญาณการแฮ็ก
เห็นได้ชัดว่า การโจมตีผ่าน SaltStack ไม่ได้ จำกัด เพียงแค่ส่งผลต่อ LineageOS เท่านั้น และกลายเป็นที่แพร่หลายในระหว่างวันผู้ใช้หลายคนที่ไม่มีเวลาอัปเดต SaltStack สังเกตว่าโครงสร้างพื้นฐานของพวกเขาถูกบุกรุกโดยการขุดรหัสโฮสติ้งหรือประตูหลัง
นอกจากนี้เขายังรายงานการแฮ็กที่คล้ายกัน โครงสร้างพื้นฐานของระบบการจัดการเนื้อหา ผีอะไรส่งผลกระทบต่อไซต์ Ghost (Pro) และการเรียกเก็บเงิน (ถูกกล่าวหาว่าหมายเลขบัตรเครดิตไม่ได้รับผลกระทบ แต่แฮชรหัสผ่านของผู้ใช้ Ghost อาจตกอยู่ในมือของผู้โจมตี)
- ช่องโหว่แรก (CVE-2020-11651) เกิดจากการขาดการตรวจสอบที่เหมาะสมเมื่อเรียกใช้เมธอดของคลาส ClearFuncs ในกระบวนการ salt-master ช่องโหว่นี้ทำให้ผู้ใช้ระยะไกลสามารถเข้าถึงวิธีการบางอย่างได้โดยไม่ต้องมีการพิสูจน์ตัวตน โดยเฉพาะอย่างยิ่งด้วยวิธีการที่มีปัญหาผู้โจมตีสามารถรับโทเค็นสำหรับการเข้าถึงรูทไปยังเซิร์ฟเวอร์หลักและดำเนินการคำสั่งใด ๆ บนโฮสต์ที่ให้บริการซึ่งรัน salt-minion daemon แพตช์เผยแพร่เมื่อ 20 วันที่แล้วซึ่งแก้ไขช่องโหว่นี้ แต่หลังจากที่แอปพลิเคชันปรากฏขึ้นมีการเปลี่ยนแปลงย้อนหลังที่ทำให้การซิงโครไนซ์ไฟล์ล่มและหยุดชะงัก
- ช่องโหว่ที่สอง (CVE-2020-11652) อนุญาตให้ผ่านการปรับแต่งด้วยคลาส ClearFuncs เข้าถึงเมธอดผ่านการถ่ายโอนพา ธ ที่กำหนดไว้ในรูปแบบหนึ่งซึ่งสามารถใช้สำหรับการเข้าถึงไดเร็กทอรีที่กำหนดเองบน FS ของเซิร์ฟเวอร์หลักที่มีสิทธิ์ root แต่ต้องมีการเข้าถึงแบบพิสูจน์ตัวตน ( การเข้าถึงดังกล่าวสามารถรับได้โดยใช้ช่องโหว่แรกและใช้ช่องโหว่ที่สองเพื่อบุกรุกโครงสร้างพื้นฐานทั้งหมดอย่างสมบูรณ์)