Les administrateurs du système d’exploitation personnalisé Android LineageOS‌ étaient en état d’alerte élevé samedi après que des pirates aient violé leur infrastructure principale, provoquant une panne complète.

Les attaquants ont exploité une vulnérabilité de haute gravité dans le cadre de gestion open source «Salt», qui a été révélée au public le 30 avril, un jour après que les responsables ont publié de nouvelles versions corrigeant le problème.

Tous les systèmes en panne

En seulement deux jours, les intrus ont recherché sur Internet les installations vulnérables de Salt Master et ont agi contre eux. Dans un court tweet, LineageOS a rapporté l’attaque en disant qu’elle avait eu lieu le 2 mai, vers 20 heures. PST et que le code source n’est pas affecté.

Bien que l’incident ait forcé LineageOS à mettre hors ligne tous ses services, il n’a pas eu d’impact sur les clés de signature qui authentifient les distributions car elles sont stockées sur des hôtes distincts de l’infrastructure principale.

Les versions n’ont pas été modifiées non plus, car elles avaient été «interrompues en raison d’un problème non lié depuis le 30 avril», selon les détails sur la page d’état du projet.

Au total, l’intrusion a affecté les services suivants: serveurs de messagerie, miroirs de téléchargement, statistiques, portail de téléchargement et système de collaboration Gerrit Code Review utilisé dans le développement.

Dimanche matin, à 3 heures du matin, l’équipe de LineageOS a réussi à restaurer le site Web, le courrier électronique, le wiki et certains services internes. Pour le moment, Gerrit est également opérationnel.

Bogues signalés plus tôt cette semaine

Salt est un outil de gestion de serveur de SaltStack pour l’automatisation basée sur les événements et l’exécution de tâches à distance. Conçu pour la gestion des infrastructures et de la configuration pour n’importe quelle pile d’applications, il est généralement déployé sur des serveurs dans des centres de données et des configurations cloud.

Le 30 avril, des chercheurs de F-Secure ont publié des détails sur deux vulnérabilités de Salt qui sont exploitables pour réaliser l’exécution de code à distance avec des privilèges root.

L’un d’eux, identifié comme CVE-2020-11651, est un contournement d’authentification sur le serveur maître qui permet d’envoyer des commandes aux serveurs clients (sbires) qui sont exécutées en tant que root.

Le…