LineageOS移动平台的开发人员 (替换了CyanogenMod的那个) 他们警告 关于识别 您的基础架构上未经授权的访问留下的痕迹。 据观察,在6月3日凌晨XNUMX点(MSK), 攻击者设法获得了对主服务器的访问权限 通过利用到目前为止尚未修复的漏洞来对SaltStack集中式配置管理系统进行管理。
据报道攻击没有影响 生成数字签名的密钥, 平台的构建系统和源代码。 密钥被放置在与通过SaltStack管理的主要基础设施完全分开的主机上,并且由于技术原因,组装在30月XNUMX日停止。
从status.lineageos.org页面上的数据来看,开发人员已经使用Gerrit的代码审查系统,网站和Wiki恢复了服务器。 具有构建的服务器 (builds.lineageos.org), 下载门户 文件数(download.lineageos.org),邮件服务器 和协调转发到镜像的系统 目前被禁用。
关于裁决
29月XNUMX日发布了更新 从SaltStack 3000.2平台 四天后 (2月XNUMX日) 消除了两个漏洞。
问题出在 在所报告的漏洞中, 一份于30月XNUMX日发布,被指定为最高危险等级 (在这里,在发现和发布补丁或错误修复后几天或几周内发布信息的重要性)。
由于该缺陷允许未经身份验证的用户作为控制主机(盐主机)以及通过它管理的所有服务器执行远程代码执行。
网络端口4506(用于访问SaltStack)未被外部请求的防火墙阻止,并且攻击者不得不在Lineage SaltStack和ekspluatarovat的开发人员尝试安装之前,必须等待采取行动,这一事实才使攻击得以实现更新以纠正故障。
建议所有SaltStack用户紧急更新其系统,并检查是否有黑客入侵的迹象。
显然, 通过SaltStack进行的攻击不仅限于影响LineageOS 并且在一天中变得越来越普遍,一些没有时间更新SaltStack的用户注意到,他们的基础架构受到挖掘托管代码或后门的威胁。
他还报告了类似的黑客攻击 内容管理系统基础架构 鬼,什么它影响了Ghost(Pro)站点和计费(据称信用卡号没有受到影响,但是Ghost用户的密码哈希可能落入攻击者的手中)。
- 第一个漏洞(CVE-2020-11651) 这是由于在盐主进程中调用ClearFuncs类的方法时缺少适当的检查引起的。 该漏洞使远程用户无需身份验证即可访问某些方法。 特别是,通过有问题的方法,攻击者可以获得用于根访问主服务器的令牌,并在运行salt-minion守护程序的服务主机上执行任何命令。 20天前发布了可修复此漏洞的补丁程序,但在其应用程序出现后,发生了向后更改,导致文件同步崩溃和中断。
- 第二个漏洞(CVE-2020-11652) 允许通过使用ClearFuncs类进行操作,通过传递以某种方式定义的路径来访问方法,该路径可以用于完全访问具有root特权的主服务器FS上的任意目录,但是需要经过身份验证的访问(可以使用第一个漏洞并使用第二个漏洞来完全破坏整个基础架构,从而获得此类访问权限。