В минувшие выходные компрометации подверглась инфраструктура LineageOS, мобильной операционной системы на базе Android, используемой для смартфонов, планшетов и телевизионных приставок.
Инцидент произошел вечером субботы и, согласно официальным данным, был обнаружен прежде, чем злоумышленники успели нанести какой-либо ущерб проекту. Разработчики уверяют, что взлом не затронул исходный код и сборки ОС, а также ключи для подписи официальных дистрибутивов, которые хранились вне основной инфраструктуры.
После обнаружения атаки специалисты компании спешно увели серверы в оффлайн для расследования случившегося и исправления брешей, которые использовали хакеры. К настоящему моменту почти все сервисы уже вернулись в строй, включая портал загрузки файлов и зеркала, сервер сборок, почтовые серверы, wiki и так далее.
Атака была реализована через уязвимости в составе фреймворка SaltStack Salt, известно о которых стало ранее на прошлой неделе. Сразу две критические проблемы были обнаружены специалистами компании F-Secure, и обе позволяли выполнить произвольный код. В настоящее время патчи для опасных багов уже доступны, но исследователи предупреждали, что в сети можно обнаружить более 6000 потенциально уязвимых систем, а эксплуатация уязвимостей очень проста, так что атаки не заставят себя ждать.
Эксперты были полностью правы, так как в сети уже появилось немало PoC-эксплоитов для проблем в SaltStack Salt, и при помощи этих уязвимостей была атакована не только инфраструктура LineageOS, но и блогинговая платформа Ghost, а также удостоверяющий центр Digicert. Известно, что в некоторых случаях злоумышленники устанавливают бэкдоры на взломанные серверы, в других случаях разворачивают на серверах майнеры.