LineageOS mobil platformunun geliştiricileri (CyanogenMod'un yerini alan) uyardılar kimlik hakkında Altyapınıza yetkisiz erişimden kalan izler. 6 Mayıs sabah saat 3'da (MSK), saldırgan ana sunucuya erişmeyi başardı SaltStack, şu ana kadar yamalanmamış güvenlik açığından yararlanarak merkezi konfigürasyon yönetim sistemi.
Sadece saldırının etkilemediği bildirildi dijital imza oluşturma anahtarları, platformun derleme sistemi ve kaynak kodu. Anahtarlar, SaltStack ile yönetilen ana altyapıdan tamamen ayrı bir ana bilgisayara yerleştirildi ve montajlar 30 Nisan'da teknik nedenlerle durduruldu.
Status.lineageos.org sayfasındaki verilere bakıldığında, geliştiriciler sunucuyu Gerrit'in kod inceleme sistemi, web sitesi ve wiki ile geri yüklediler. Yapılı sunucular (builds.lineageos.org), indirme portalı dosya sayısı (download.lineageos.org), posta sunucuları ve aynalara iletimi koordine etmek için bir sistem şu anda devre dışı.
Karar hakkında
29 Nisan'da bir güncelleme yayınlandı SaltStack 3000.2 platformundan ve dört gün sonra (2 Mayıs) iki güvenlik açığı ortadan kaldırıldı.
Sorun yatıyor rapor edilen güvenlik açıklarından, biri 30 Nisan'da yayınlandı ve en yüksek tehlike seviyesi atandı (burada, yamaların veya hata düzeltmelerinin keşfedilmesinden ve yayınlanmasından birkaç gün veya hafta sonra bilgileri yayınlamanın önemi burada).
Hata, kimliği doğrulanmamış bir kullanıcının kontrol eden ana bilgisayar (tuz yöneticisi) ve bunun aracılığıyla yönetilen tüm sunucular olarak uzaktan kod yürütmesine izin verdiğinden.
Saldırı, ağ bağlantı noktası 4506'nın (SaltStack'e erişmek için) harici istekler için güvenlik duvarı tarafından engellenmemesi ve saldırganın Lineage SaltStack ve ekspluatarovat geliştiricileri yüklemeye çalışmadan önce harekete geçmek için beklemek zorunda kalmasıyla mümkün olmuştur. arızayı düzeltmek için bir güncelleme.
Tüm SaltStack kullanıcılarının sistemlerini acilen güncellemeleri ve bilgisayar korsanlığı belirtilerini kontrol etmeleri önerilir.
Görünüşe göre, SaltStack üzerinden yapılan saldırılar sadece LineageOS'u etkilemekle sınırlı değildi ve gün içinde yaygınlaştı, SaltStack'i güncellemek için zamanı olmayan birkaç kullanıcı, altyapılarının madencilik barındırma kodu veya arka kapılar tarafından tehlikeye atıldığını fark etti.
Ayrıca, içerik yönetim sistemi altyapısı Hayalet neGhost (Pro) sitelerini ve faturalandırmayı etkiledi (kredi kartı numaralarının etkilenmediği, ancak Ghost kullanıcılarının şifre karmalarının saldırganların eline geçebileceği iddia ediliyor).
- İlk güvenlik açığı (CVE-2020-11651) tuz ana işleminde ClearFuncs sınıfının yöntemlerini çağırırken uygun denetimlerin olmamasından kaynaklanır. Güvenlik açığı, uzaktaki bir kullanıcının kimlik doğrulaması olmadan belirli yöntemlere erişmesine olanak tanır. Özellikle, sorunlu yöntemlerle, bir saldırgan, ana sunucuya kök erişimi için bir belirteç elde edebilir ve salt-minion arka plan programını çalıştıran hizmet verilen ana bilgisayarlarda herhangi bir komutu yürütebilir. Bu güvenlik açığını gideren bir yama 20 gün önce yayınlandı, ancak uygulamasının ortaya çıkmasından sonra, dosya senkronizasyonunun çökmesine ve kesintilere neden olan geriye dönük değişiklikler oldu.
- İkinci güvenlik açığı (CVE-2020-11652) ClearFuncs sınıfıyla yapılan manipülasyonlar yoluyla, ana sunucunun FS'sindeki rastgele dizinlere tam erişim için kullanılabilen, belirli bir şekilde tanımlanan yolların aktarımı yoluyla yöntemlere erişime izin verir, ancak kimlik doğrulamalı erişim gerektirir ( bu tür erişim, tüm altyapıyı tamamen tehlikeye atmak için birinci güvenlik açığı ve ikinci güvenlik açığı kullanılarak elde edilebilir).