Взлом инфраструктуры LineageOS через уязвимость в SaltStack
3 мая 2020 года
Разработчики мобильной платформы LineageOS, пришедшего на смену CyanogenMod, предупредили о выявлении следов взлома инфраструктуры проекта. Отмечается, что в 6 часов утра (MSK) 3 мая атакующему удалось получить доступ к основному серверу системы централизованного управления конфигурацией SaltStack (Архивная копия от 8 марта 2021 на Wayback Machine) через эксплуатацию неисправленной уязвимости. В настоящий момент идёт разбор инцидента и подробности пока недоступны.
Сообщается только, что атака не затронула ключи для формирования цифровых подписей, систему сборки и исходные тексты платформы - ключи размещались на хостах, полностью отделённых от основной инфраструктуры, управляемой через SaltStack, а сборки были остановлены по техническим причинам 30 апреля. Судя по данным на странице status.lineageos.org разработчики уже восстановили сервер с системой рецензирования кода Gerrit, сайт и wiki. Отключёнными остаются сервер со сборками (builds.lineageos.org), портал для загрузки файлов (download.lineageos.org), почтовые серверы и система координации проброса на зеркала.
Атака стала возможна благодаря тому, что сетевой порт (4506) для доступа к SaltStack не был блокирован для внешних запросов межсетевым экраном - атакующему оставалось дождаться появления критической уязвимости в SaltStack и эксплуатаровать её до того, как администраторы установят обновление с исправлением. Всем пользователям SaltStack рекомендуется срочно обновить свои системы и проверить на наличие следов взлома.
Судя по всему, атаки через SaltStack не ограничилась взломом LineageOS и приняли массовый характер - в течение дня различные пользователи, которые не успели обновить SaltStack, отмечают выявление компрометации своих инфраструктур с размещением на серверах кода для майнинга или бэкдоров. В том числе сообщается об аналогичном взломе инфраструктуры системы управления контентом Ghost, который затронул сайты Ghost(Pro) и биллинг (утверждается, что номера кредитный карт не пострадали, но хэши паролей пользователей Ghost могли попасть в руки атакующих).
29 апреля были выпущены обновления платформы SaltStack 3000.2 и 2019.2.4, в которых были устранены две уязвимости (сведения об уязвимостях были опубликованы 30 апреля), которым присвоен высший уровень опасности, так как они без прохождения аутентификации допускают удалённое выполнение кода как на управляющем хосте (salt-master), так и всех управляемых через него серверах.
- Первая уязвимость (
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
