Các nhà phát triển nền tảng di động LineageOS (cái thay thế CyanogenMod) họ đã cảnh báo về nhận dạng dấu vết còn lại từ việc truy cập trái phép vào cơ sở hạ tầng của bạn. Theo quan sát rằng vào lúc 6 giờ sáng (MSK) ngày 3 tháng XNUMX, kẻ tấn công đã quản lý để có được quyền truy cập vào máy chủ chính Hệ thống quản lý cấu hình tập trung SaltStack bằng cách khai thác lỗ hổng chưa được vá cho đến nay.
Nó chỉ được báo cáo rằng cuộc tấn công không ảnh hưởng đến chìa khóa để tạo chữ ký điện tử, hệ thống xây dựng và mã nguồn của nền tảng. Các khóa được đặt trên một máy chủ hoàn toàn tách biệt với cơ sở hạ tầng chính được quản lý thông qua SaltStack và việc lắp ráp đã bị dừng vì lý do kỹ thuật vào ngày 30 tháng XNUMX.
Đánh giá từ dữ liệu trên trang status.lineageos.org, các nhà phát triển đã khôi phục máy chủ bằng hệ thống đánh giá mã, trang web và wiki của Gerrit. Máy chủ có bản dựng (build.lineageos.org), cổng tải xuống trong số các tệp (download.lineageos.org), máy chủ thư và một hệ thống để điều phối chuyển tiếp tới các gương hiện đang bị vô hiệu hóa.
Về phán quyết
Bản cập nhật đã được phát hành vào ngày 29 tháng XNUMX từ nền tảng SaltStack 3000.2 và bốn ngày sau (Ngày 2 tháng XNUMX) hai lỗ hổng đã được loại bỏ.
Vấn đề nằm ở chỗ trong đó, trong số các lỗ hổng đã được báo cáo, một được xuất bản vào ngày 30 tháng XNUMX và được chỉ định mức độ nguy hiểm cao nhất (ở đây tầm quan trọng của việc xuất bản thông tin vài ngày hoặc vài tuần sau khi phát hiện và phát hành các bản vá hoặc sửa lỗi).
Vì lỗi cho phép người dùng chưa được xác thực thực hiện thực thi mã từ xa với tư cách là máy chủ điều khiển (muối-master) và tất cả các máy chủ được quản lý thông qua nó.
Cuộc tấn công được thực hiện bởi thực tế là cổng mạng 4506 (để truy cập SaltStack) không bị tường lửa chặn đối với các yêu cầu bên ngoài và trong đó kẻ tấn công phải đợi để hành động trước khi các nhà phát triển của Lineage SaltStack và ekspluatarovat cố gắng cài đặt. cập nhật để sửa lỗi.
Tất cả người dùng SaltStack được khuyến cáo nên khẩn cấp cập nhật hệ thống của họ và kiểm tra các dấu hiệu hack.
Rõ ràng, các cuộc tấn công qua SaltStack không chỉ giới hạn ở việc ảnh hưởng đến LineageOS và trở nên phổ biến trong ngày, một số người dùng không có thời gian cập nhật SaltStack nhận thấy rằng cơ sở hạ tầng của họ đã bị xâm phạm bởi mã lưu trữ khai thác hoặc cửa sau.
Anh ta cũng báo cáo một vụ hack tương tự vào cơ sở hạ tầng hệ thống quản lý nội dung Ma, cái gìNó ảnh hưởng đến các trang web Ghost (Pro) và việc thanh toán (người ta cho rằng số thẻ tín dụng không bị ảnh hưởng, nhưng việc băm mật khẩu của người dùng Ghost có thể rơi vào tay kẻ tấn công).
- Lỗ hổng đầu tiên (CVE-2020-11651) nguyên nhân là do thiếu các kiểm tra thích hợp khi gọi các phương thức của lớp ClearFuncs trong quá trình Salt-master. Lỗ hổng cho phép người dùng từ xa truy cập các phương pháp nhất định mà không cần xác thực. Đặc biệt, thông qua các phương pháp có vấn đề, kẻ tấn công có thể lấy mã thông báo để truy cập root vào máy chủ chính và thực thi bất kỳ lệnh nào trên các máy chủ được phục vụ chạy daemon salt-minion. Một bản vá đã được phát hành cách đây 20 ngày để sửa lỗ hổng này, nhưng sau khi ứng dụng của nó xuất hiện, có những thay đổi ngược gây ra sự cố và gián đoạn đồng bộ hóa tệp.
- Lỗ hổng thứ hai (CVE-2020-11652) cho phép, thông qua các thao tác với lớp ClearFuncs, truy cập vào các phương thức thông qua việc chuyển các đường dẫn được xác định theo một cách nhất định, có thể được sử dụng để truy cập đầy đủ vào các thư mục tùy ý trên FS của máy chủ chính có đặc quyền gốc, nhưng nó yêu cầu quyền truy cập được xác thực ( quyền truy cập như vậy có thể đạt được bằng cách sử dụng lỗ hổng đầu tiên và sử dụng lỗ hổng thứ hai để xâm phạm hoàn toàn toàn bộ cơ sở hạ tầng).