LineageOS移動平台的開發人員 (替換了CyanogenMod的那個) 他們警告 關於識別 您的基礎架構上未經授權的訪問留下的痕跡。 據觀察,在6月3日凌晨XNUMX點(MSK), 攻擊者設法獲得了對主服務器的訪問權限 通過利用到目前為止尚未修復的漏洞來對SaltStack集中式配置管理系統進行管理。
據報導攻擊沒有影響 生成數字簽名的密鑰, 平台的構建系統和源代碼。 密鑰被放置在與通過SaltStack管理的主要基礎設施完全分開的主機上,並且由於技術原因,大會於30月XNUMX日停止。
從status.lineageos.org頁面上的數據來看,開發人員已經使用Gerrit的代碼審查系統,網站和Wiki恢復了服務器。 具有構建的服務器 (builds.lineageos.org), 下載門戶 文件數(download.lineageos.org),郵件服務器 和協調轉發到鏡像的系統 目前被禁用。
關於裁決
29月XNUMX日發布了更新 從SaltStack 3000.2平台 四天后 (2月XNUMX日) 消除了兩個漏洞。
問題出在 在所報告的漏洞中, 一份於30月XNUMX日發布,被指定為最高危險等級 (在這裡,在發現和發布錯誤修復程序或補丁後幾天或幾週內發布信息的重要性)。
由於該缺陷允許未經身份驗證的用戶作為控制主機(鹽主機)以及通過它管理的所有服務器執行遠程代碼執行。
網絡端口4506(用於訪問SaltStack)未被外部請求的防火牆阻止,並且攻擊者不得不在Lineage SaltStack和ekspluatarovat的開發人員嘗試安裝之前,必須等待採取行動,這一事實才使攻擊得以實現。更新以糾正故障。
建議所有SaltStack用戶緊急更新其係統,並檢查是否有黑客入侵的跡象。
顯然, 通過SaltStack進行的攻擊不僅限於影響LineageOS 並且在一天中變得越來越普遍,一些沒有時間更新SaltStack的用戶注意到,他們的基礎架構受到挖掘託管代碼或後門的威脅。
他還報告了類似的黑客攻擊 內容管理系統基礎架構 鬼,什麼它影響了Ghost(Pro)站點和計費(據說信用卡號沒有受到影響,但是Ghost用戶的密碼哈希可能落入攻擊者的手中)。
- 第一個漏洞(CVE-2020-11651) 這是由於在鹽主進程中調用ClearFuncs類的方法時缺少適當的檢查引起的。 該漏洞使遠程用戶無需身份驗證即可訪問某些方法。 特別是,通過有問題的方法,攻擊者可以獲得用於根訪問主服務器的令牌,並在運行salt-minion守護程序的服務主機上執行任何命令。 20天前發布了可修復此漏洞的補丁程序,但在其應用程序出現後,發生了向後更改,導致文件同步崩潰和中斷。
- 第二個漏洞(CVE-2020-11652) 允許通過使用ClearFuncs類進行操作,通過傳遞以某種方式定義的路徑來訪問方法,該路徑可以用於完全訪問具有root特權的主服務器FS上的任意目錄,但是需要經過身份驗證的訪問(可以使用第一個漏洞並使用第二個漏洞來完全破壞整個基礎架構,從而獲得此類訪問權限。