[English]Am 2. Mai 2020 hatte ein Hacker Zugriff auf die Infrastruktur der Lineage OS-Server, nachdem er eine nicht gepatchte Schwachstelle ausnutzen konnte. Hier einige Informationen.
Was ist LineageOS?
LineageOS ist ein auf dem Android Open Source-Code basierendes Betriebssysteme für Smartphones und Tablet PCs. Das Betriebssystem ist der Nachfolger des inzwischen eingestellten CyanganoMod.
ROMs für diverse Android-Geräte werden von Freiwilligen im Rahmen der LineageOS-Community entwickelt. Ich selbst nutze das hier auf einem Samsung Galaxy S4, welches schon ewig keine Android-Updates mehr bekommt. Das Galaxy S4 läuft hier mit Lineage OS 16.x (entspricht Android 9) und ich werde – sobald ich meine Aktualisierung für ein Android-Buchprojekt abgeschlossen habe, wohl auf Lineage OS 17.x (entspricht Android 10) umsteigen.
Der Hack am 2. Mai 2020
Das LineageOS-Team hat am 3. Mai 2020 in nachfolgendem Tweet einen Hack der LineageOS-Infrastruktur bekannt gegeben.
Around 8PM PST on May 2nd, 2020 an attacker used a CVE in our saltstack master to gain access to our infrastructure.
We are able to verify that:
– Signing keys are unaffected.
– Builds are unaffected.
– Source code is unaffected.See https://t.co/85fvp6Gj2h for more info.
— LineageOS (@LineageAndroid) May 3, 2020
Ich bin über einen anderen Tweet und diesen ZDnet-Artikel auf den Sachverhalt aufmerksam geworden. Der Hack fand am Samstag, den 2. Mai 2020, gegen 20.00 Uhr (US-Pazifikküsten-Zeit) statt.
Ungepatchte Schwachstellen im Salt-Framework
Der Angriff erfolgte über eine ungepatchte Schwachstelle im Saltstack-Master, wurde aber entdeckt, bevor der Angreifer Schaden anrichten konnte.
Salt ist ein von Saltstack bereitgestelltes Open-Source-Framework. Dieses wird zur Verwaltung und Automatisierung von Servern oder internen Netzwerken eingesetzt. Vorige Woche wurden von F-Secure die zwei Schwachstellen CVE-2020-11651 (Authentication Bypass) und CVE-2020-11652 (Directory Traversal) öffentlich gemacht.
Eine Kombination der beiden Schwachstellen ermöglichte die Übernahme einer Salt-Installation, da das Login umgangen werden kann. Sicherheitsforscher haben festgestellt, dass Angriffe auf die Schwachstelle seit Ende letzter Woche erfolgen. Aktuell sind wohl 6.000 Salt-Installationen ungepatcht per Internet erreichbar. Normalerweise sollten Salt-Server durch eine Firewall vor Zugriffen per Internet abgeschottet werden.
Scheinbar nochmal gutgegangen
Weniger als drei Stunden nach dem Angriff meldete sich das LineageOS-Team in einer veröffentlichten Erklärung (siehe obiger Tweet). Darin heißt es:
- Der Quellcode des LineageOS-Betriebssystems sei vom Angriff nicht betroffen worden.
- Das Gleiche gilt für alle LineageOS-Betriebssystem-Builds, die bereits seit dem 30. April wegen eines nicht damit zusammenhängenden Problems pausiert worden waren.
- Die Signierschlüssel, die zur Authentifizierung offizieller Betriebssystem-Distributionen verwendet wurden, waren ebenfalls nicht betroffen, da diese Hosts getrennt von der LineageOS-Hauptinfrastruktur gespeichert waren.
Das LineageOS-Team hat trotzdem Samstag-Nacht alle seine Server heruntergefahren, um den Vorfall zu untersuchen und anfällige Server zu patchen. Weitere Details lassen sich ggf. bei ZDNet nachlesen.
Was hat es mit „[…] die bereits seit dem 30. April wegen eines nicht damit zusammenhängenden Problems pausiert worden waren […]“ auf sich?
Ich kann es nicht sagen, da mir keine Details vorliegen. Der Hinweis kam von Catalin Cimpanu auf ZDnet.
Danke!
Gibt es schon neue Infos?
Auf der Webseite ist nichts zu finden, wie der Status ist und wie es weitergeht.