Розробники мобільної платформи LineageOS (той, який замінив CyanogenMod) - попередили вони про ідентифікацію слідів, що залишились від несанкціонованого доступу до вашої інфраструктури. Зазначається, що о 6 годині ранку (МСК) 3 травня зловмисникові вдалося отримати доступ до основного сервера Централізована система управління конфігурацією SaltStack, використовуючи вразливість, яку досі не виправляли.
Повідомляється лише, що напад не вплинув ключі для генерації цифрових підписів, система збірки та вихідний код платформи. Ключі були розміщені на хості, повністю окремому від основної інфраструктури, керованої через SaltStack, і збори були зупинені з технічних причин 30 квітня.
Судячи з даних на сторінці status.lineageos.org, розробники вже відновили сервер за допомогою системи перегляду коду Gerrit, веб-сайту та вікі. Сервери зі збірками (builds.lineageos.org), завантажити портал файлів (download.lineageos.org), поштові сервери і система координації переадресації на дзеркала на даний момент відключені.
Про постанову
Оновлення було випущено 29 квітня з платформи SaltStack 3000.2 і через чотири дні (2 травня) було усунено дві вразливості.
Проблема полягає в якій із вразливостей, про які повідомлялося, один був опублікований 30 квітня і йому присвоєний найвищий рівень небезпеки (тут важливість публікації інформації через кілька днів або тижнів після її виявлення та випуску виправлень помилок або виправлень).
Оскільки помилка дозволяє неавторизованому користувачеві виконувати віддалене виконання коду як контрольний хост (master-master) та всі сервери, керовані через нього.
Атака стала можливою завдяки тому, що мережевий порт 4506 (для доступу до SaltStack) не був заблокований брандмауером для зовнішніх запитів і в якому зловмиснику довелося почекати, перш ніж розробники Lineage SaltStack та експлуататувати спробують встановити оновлення для виправлення несправності.
Всім користувачам SaltStack рекомендується терміново оновити свої системи та перевірити наявність ознак злому.
Мабуть, атаки через SaltStack не обмежувались лише впливом на LineageOS і набула поширення протягом дня, кілька користувачів, які не встигли оновити SaltStack, помітили, що їх інфраструктура була скомпрометована майнінговим хостинговим кодом або задніми дверима.
Він також повідомляє про подібний хакер інфраструктура системи управління вмістом Привид, щоЦе вплинуло на сайти Ghost (Pro) та виставлення рахунків (передбачається, що номери кредитних карток не зазнали впливу, але хеші паролів користувачів Ghost можуть потрапити в руки зловмисників).
- Перша вразливість (CVE-2020-11651) це спричинено відсутністю належних перевірок при виклику методів класу ClearFuncs у процесі обробки солі. Уразливість дозволяє віддаленому користувачеві отримати доступ до певних методів без автентифікації. Зокрема, за допомогою проблемних методів зловмисник може отримати маркер для кореневого доступу до головного сервера та виконати будь-яку команду на обслуговуваних хостах, що запускають демон salt-minion. 20 днів тому випущено виправлення, яке виправляє цю вразливість, але після появи його програми відбулися зворотні зміни, які спричинили збої та перебої синхронізації файлів.
- Друга вразливість (CVE-2020-11652) дозволяє через маніпуляції з класом ClearFuncs отримати доступ до методів шляхом передачі визначених певним чином шляхів, які можна використовувати для повного доступу до довільних каталогів на ФС головного сервера з кореневими привілеями, але для цього потрібен автентифікований доступ ( такий доступ можна отримати, використовуючи першу вразливість і використовуючи другу вразливість, щоб повністю скомпрометувати всю інфраструктуру).