image

Aanvaller krijgt via Salt-lek toegang tot servers van LineageOS

zondag 3 mei 2020, 14:49 door Redactie, 18 reacties

Een aanvaller is erin geslaagd om toegang tot servers van LineageOS te krijgen omdat een beschikbare beveiligingsupdate voor het Salt-framework niet was geïnstalleerd. LineageOS is een op Android gebaseerd opensourcebesturingssysteem voor smartphones en tablets. Het draait op meer dan 1,7 miljoen apparaten.

Voor het beheer van servers maakt LineageOS gebruik van Salt (ook wel SaltStack genoemd). Het is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. De beheerders van LineageOS hebben de patches niet tijdig geïnstalleerd, want gisterenavond maakte iemand misbruik van één van de kwetsbaarheden om toegang tot de infrastructuur te krijgen.

Dat laat het ontwikkelteam via Twitter en de eigen statuspagina weten. Voor zover bekend zijn de signing keys die worden gebruikt voor het digitaal ondertekenen van de code niet in gevaar. Ook de broncode en builds van LineageOS zijn niet gecompromitteerd. Vanwege een ongerelateerd probleem zijn alle builds sinds 30 april gepauzeerd. Vanwege de aanval gingen alle services van LineageOS offline, zoals de website, wiki en mailservers. Inmiddels zijn mail, de website, wiki en sommige interne diensten hersteld. De overige diensten volgen morgen. Volgens berichten zouden op internet nog 6.000 kwetsbare Salt-installaties te vinden zijn.

Image

Reacties (18)
03-05-2020, 15:46 door souplost
29 april was afgelopen vrijdag en het is nu weekend. Dan hebben die beheerders nog geen tijd gehad. Daarnaast is de vulnerability nu nog in analyse? : https://nvd.nist.gov/vuln/detail/CVE-2020-11651 en https://nvd.nist.gov/vuln/detail/CVE-2020-11652
Jeetje 3 dagen, klinkt als een zero day fix. Dan kom je er niet met 1x per maand patchen.
03-05-2020, 15:55 door linux4
Door souplost: 29 april was afgelopen vrijdag en het is nu weekend. Dan hebben die beheerders nog geen tijd gehad. Daarnaast is de vulnerability nu nog in analyse? : https://nvd.nist.gov/vuln/detail/CVE-2020-11651 en https://nvd.nist.gov/vuln/detail/CVE-2020-11652
Jeetje 3 dagen, klinkt als een zero day fix. Dan kom je er niet met 1x per maand patchen.

Als je zulke servers beheert kun je je niet beroepen op "het weekend", internet criminelen werken door op die dagen.
03-05-2020, 15:56 door Anoniem
Door souplost: 29 april was afgelopen vrijdag en het is nu weekend. Dan hebben die beheerders nog geen tijd gehad. Daarnaast is de vulnerability nu nog in analyse? : https://nvd.nist.gov/vuln/detail/CVE-2020-11651 en https://nvd.nist.gov/vuln/detail/CVE-2020-11652
Jeetje 3 dagen, klinkt als een zero day fix. Dan kom je er niet met 1x per maand patchen.
Of je weet juist wanneer de security updates uitkomen, en je er dus rekening mee kan houden in je bedrijf.
Ideaal in te plannen in de bedrijfsvoering. Je hoeft dus niet dagelijks alle security updates in de gaten te houden.
Security updates komen dus niet zomaar bijvoorbeeld op een vrijdag uit, helemaal niet op een veel voorkomende vrije dag (dag van de arbeid). Je weet gewoon al het complete jaar, wanneer je met security updates aan de slag mag gaan.

Juist beheersbaarheid en voorspelbaarheid had deze ellende kunnen voorkomen.
03-05-2020, 16:34 door Anoniem
Door souplost: 29 april was afgelopen vrijdag en het is nu weekend. Dan hebben die beheerders nog geen tijd gehad. Daarnaast is de vulnerability nu nog in analyse? : https://nvd.nist.gov/vuln/detail/CVE-2020-11651 en https://nvd.nist.gov/vuln/detail/CVE-2020-11652
Jeetje 3 dagen, klinkt als een zero day fix. Dan kom je er niet met 1x per maand patchen.

Sorry, maar 29 april was woensdag. Deze prutsers hadden vier dagen de tijd om hun patches te installeren, maar hebben dat niet gedaan. Het is ook geen zero day fix, want de update was er al voor de aanval. Ook slaat het 1x per maand patchen wat je noemt nergens op. Als een patch uitkomt, of het nu op de tweede dinsdag van de maand is of een woensdag 29 april, moet je die meteen installeren. Niet zo heel moeilijk. Wel voor LineageOS dus.
04-05-2020, 07:49 door Bitje-scheef
Als een patch uitkomt, of het nu op de tweede dinsdag van de maand is of een woensdag 29 april, moet je die meteen installeren.

Ja natuurlijk.
04-05-2020, 09:19 door The FOSS - Bijgewerkt: 04-05-2020, 09:20
Door Anoniem:
Door souplost: ...
Of je weet juist wanneer de security updates uitkomen, en je er dus rekening mee kan houden in je bedrijf.
Ideaal in te plannen in de bedrijfsvoering. Je hoeft dus niet dagelijks alle security updates in de gaten te houden.
Security updates komen dus niet zomaar bijvoorbeeld op een vrijdag uit, helemaal niet op een veel voorkomende vrije dag (dag van de arbeid). Je weet gewoon al het complete jaar, wanneer je met security updates aan de slag mag gaan.

Juist beheersbaarheid en voorspelbaarheid had deze ellende kunnen voorkomen.

Gewoon afwachten tot de 'patchdag'. Ja, dat zal echt helpen bij zeroday vulnerabilities en kort dag patches als deze. Gewoon de ogen sluiten voor acute problemen en de oplossing zoeken in beheersbaarheid, waar deze er duidelijk niet kan zijn. Wat is het toch een ontzettend domme strategie, die patchdinsdag!
04-05-2020, 09:36 door Anoniem
Door The FOSS:
Door Anoniem:
Door souplost: ...
Of je weet juist wanneer de security updates uitkomen, en je er dus rekening mee kan houden in je bedrijf.
Ideaal in te plannen in de bedrijfsvoering. Je hoeft dus niet dagelijks alle security updates in de gaten te houden.
Security updates komen dus niet zomaar bijvoorbeeld op een vrijdag uit, helemaal niet op een veel voorkomende vrije dag (dag van de arbeid). Je weet gewoon al het complete jaar, wanneer je met security updates aan de slag mag gaan.

Juist beheersbaarheid en voorspelbaarheid had deze ellende kunnen voorkomen.

Gewoon afwachten tot de 'patchdag'. Ja, dat zal echt helpen bij zeroday vulnerabilities en kort dag patches als deze. Gewoon de ogen sluiten voor acute problemen en de oplossing zoeken in beheersbaarheid, waar deze er duidelijk niet kan zijn. Wat is het toch een ontzettend domme strategie, die patchdinsdag!
De reacties worden steeds dommer! Het gaat hier over problemen met opensoftware en dat heeft NIETS te maken met patchdinsdag! Op de een of andere manier MOET schijnbaar door enkele reaguurders getrold worden, want met opensoftware kan NIETS fout gaan!
04-05-2020, 10:56 door souplost - Bijgewerkt: 04-05-2020, 10:56
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door souplost: ...
Of je weet juist wanneer de security updates uitkomen, en je er dus rekening mee kan houden in je bedrijf.
Ideaal in te plannen in de bedrijfsvoering. Je hoeft dus niet dagelijks alle security updates in de gaten te houden.
Security updates komen dus niet zomaar bijvoorbeeld op een vrijdag uit, helemaal niet op een veel voorkomende vrije dag (dag van de arbeid). Je weet gewoon al het complete jaar, wanneer je met security updates aan de slag mag gaan.

Juist beheersbaarheid en voorspelbaarheid had deze ellende kunnen voorkomen.

Gewoon afwachten tot de 'patchdag'. Ja, dat zal echt helpen bij zeroday vulnerabilities en kort dag patches als deze. Gewoon de ogen sluiten voor acute problemen en de oplossing zoeken in beheersbaarheid, waar deze er duidelijk niet kan zijn. Wat is het toch een ontzettend domme strategie, die patchdinsdag!
De reacties worden steeds dommer! Het gaat hier over problemen met opensoftware en dat heeft NIETS te maken met patchdinsdag! Op de een of andere manier MOET schijnbaar door enkele reaguurders getrold worden, want met opensoftware kan NIETS fout gaan!
1x per maand patchen was een verwijzing naar patchdinsdag, dat dat dit soort korte dag problemen niet gaat oplossen.
Jouw opensoftware kan NIETS fout gaan quote is pas een domme reactie, want dat beweert niemand. Dit soort patches moeten onmiddellijk uitgevoerd worden was de strekking en niet een maand (meestal nog langer) wachten zoals zo vaak in een andere omgeving gebeurd. Zoals je ziet is 4 dagen al te weinig in dit geval.
04-05-2020, 10:56 door Anoniem
Door Anoniem:
Sorry, maar 29 april was woensdag. Deze prutsers hadden vier dagen de tijd om hun patches te installeren, maar hebben dat niet gedaan. Het is ook geen zero day fix, want de update was er al voor de aanval. Ook slaat het 1x per maand patchen wat je noemt nergens op. Als een patch uitkomt, of het nu op de tweede dinsdag van de maand is of een woensdag 29 april, moet je die meteen installeren. Niet zo heel moeilijk. Wel voor LineageOS dus.
Dan heb je duidelijk geen ervaring in patches in een groot bedrijf. Daar mag alleen onderhoud gebeuren in een change window. En die heb je vaak maar x per maand of per week. Afhankelijk van de impact. Voorspelbaarheid is dus van groot belang.

Voor Microsoft kan je dus de planning al voor het complete jaar maken, en iedereen kan hiermee rekening houden in de bedrijfsvoering.

Spontane patches zijn dus wel heel lastig in te plannen. Want bij iedere wijziging moeten bijvoorbeeld applicaties door getest worden of eventuele problemen. Dus eerst in je OTA straat, voordat het naar productie gaat. En in productie moet het ook getest worden na het live brengen.
Maar je applicatie ontwikkeling en de testers zijn juist bezig met een nieuwe release voor applicatie aanpassingen. Die moeten dus maar "even" alles laten liggen, om deze security update te testen?
Is leuk als je 2 keer per week een nieuwe security update krijgt.....
04-05-2020, 11:12 door Anoniem
Dat hackers hun eigen os al beginnen te hacken. Ik bedoel... wat voor een os gebruiken zij dan op hun phone??? Ze zouden beter de lekken melden ipv misbruik te maken.
04-05-2020, 11:57 door The FOSS - Bijgewerkt: 04-05-2020, 12:01
Door Anoniem:
Door The FOSS: ... Wat is het toch een ontzettend domme strategie, die patchdinsdag!
De reacties worden steeds dommer! Het gaat hier over problemen met opensoftware en dat heeft NIETS te maken met patchdinsdag! Op de een of andere manier MOET schijnbaar door enkele reaguurders getrold worden, want met opensoftware kan NIETS fout gaan!

Het gaat inderdaad niet over open source. Hoewel eigenlijk wel, want Python is gewoon Free Open Source Software! En een discussie over de overduidelijke beperkingen van patchdinsdagen is wel degelijk relevant is bij een een te laat gepatchte kwetsbaarheid. Zeker als er nog steeds mensen zijn die dit achterhaalde concept blijven verdedigen, zelfs met een zero day kwetsbaarheid voor hun neus, waarvoor de gebruikers van hun software op de hete blaren moeten gaan zitten terwijl er op Patch Tuesday wordt gewacht.
04-05-2020, 12:36 door souplost
Door Anoniem:
Door Anoniem:
Sorry, maar 29 april was woensdag. Deze prutsers hadden vier dagen de tijd om hun patches te installeren, maar hebben dat niet gedaan. Het is ook geen zero day fix, want de update was er al voor de aanval. Ook slaat het 1x per maand patchen wat je noemt nergens op. Als een patch uitkomt, of het nu op de tweede dinsdag van de maand is of een woensdag 29 april, moet je die meteen installeren. Niet zo heel moeilijk. Wel voor LineageOS dus.
Dan heb je duidelijk geen ervaring in patches in een groot bedrijf. Daar mag alleen onderhoud gebeuren in een change window. En die heb je vaak maar x per maand of per week. Afhankelijk van de impact. Voorspelbaarheid is dus van groot belang.

Voor Microsoft kan je dus de planning al voor het complete jaar maken, en iedereen kan hiermee rekening houden in de bedrijfsvoering.

Spontane patches zijn dus wel heel lastig in te plannen. Want bij iedere wijziging moeten bijvoorbeeld applicaties door getest worden of eventuele problemen. Dus eerst in je OTA straat, voordat het naar productie gaat. En in productie moet het ook getest worden na het live brengen.
Maar je applicatie ontwikkeling en de testers zijn juist bezig met een nieuwe release voor applicatie aanpassingen. Die moeten dus maar "even" alles laten liggen, om deze security update te testen?
Is leuk als je 2 keer per week een nieuwe security update krijgt.....
Grote ondernemingen doen dit ook los van het OS. Als er een Linux server een belangrijke patch heeft (gelukkig komt kritiek niet zo vaak voor) dan nog moet er gewacht worden tot de maandelijkse patchronde.
04-05-2020, 13:08 door karma4
Door souplost: Grote ondernemingen doen dit ook los van het OS. Als er een Linux server een belangrijke patch heeft (gelukkig komt kritiek niet zo vaak voor) dan nog moet er gewacht worden tot de maandelijkse patchronde.
Andere ervaring de vele kritieke lekken mogen niet aan de grote klok want er is te veel commercieel belang.
Linux en OSS zijn de verkooppraatjes van vele dienstverleners waarmee bij voorbaat critici monddood gemaakt worden.
04-05-2020, 13:23 door Anoniem
Het op te lossen probleem bij het valideren van een"method call" is het volgende

...not to write methods accepting a single boolean parameter because each method should do one thing and one thing only.
If a method takes a boolean parameter to decide what to do, it automatically does two things: deciding what to do and actually doing something. The method should be refactored into two separate methods doing something and a single method deciding which of the two methods to call.

Natuurlijk is Lineage OS open source, maar dat wil nog niet zeggen,
dat een gelijkaardig probleem bij MS ook niet zou kunnen spelen?

Maar terug on-topic. Hoeveel LineageOS is (nog) niet volledig gepatcht tegen Blueborn en Out-of-Bounds-write exploits?

luntrus
04-05-2020, 13:26 door souplost - Bijgewerkt: 04-05-2020, 13:26
Door karma4:
Door souplost: Grote ondernemingen doen dit ook los van het OS. Als er een Linux server een belangrijke patch heeft (gelukkig komt kritiek niet zo vaak voor) dan nog moet er gewacht worden tot de maandelijkse patchronde.
Andere ervaring de vele kritieke lekken mogen niet aan de grote klok want er is te veel commercieel belang.
Linux en OSS zijn de verkooppraatjes van vele dienstverleners waarmee bij voorbaat critici monddood gemaakt worden.
Weer zo'n domme opmerking. kritieke lekken worden juist aan de grote klok gehangen want ze moeten worden opgelost en dat gaat over het algemeen vrij snel. Te snel voor sommigen. Heb je ook nog een linkje van de vele dienstverleners of klets je weer uit je nek? M.a.w. eigenlijk heb je het over je favoriete broodheer die alles onder de pet houdt totdat de buitenwereld het door heeft. Dat heeft een naam.
04-05-2020, 14:40 door karma4 - Bijgewerkt: 04-05-2020, 14:43
Door souplost: Weer zo'n domme opmerking. kritieke lekken worden juist aan de grote klok gehangen want ze moeten worden opgelost en dat gaat over het algemeen vrij snel. Te snel voor sommigen. Heb je ook nog een linkje van de vele dienstverleners of klets je weer uit je nek? M.a.w. eigenlijk heb je het over je favoriete broodheer die alles onder de pet houdt totdat de buitenwereld het door heeft. Dat heeft een naam.
IBM (Bertel), Accenture, CAP gemini, Fujitisi, Logica, Ordina, HP, KPN, E&Y, KPMG en vergeet Centric niet.
Het is een lange lijst waarbij de ICT in opdracht wordt uitgevoerd. Nee kwetsbaarheden zijn ongewenst, ze kosten geld en dat gaat ten koste van de winst. Beter en makkelijk is dat OSS argument daarvoor in te zetten.

Heb je ooit de tenders gezien? https://www.rijksoverheid.nl/contact/contactgids/tenderned Er wordt wel naar de open standaarden voor beveiliging verwezen bij de aanbesteding daarna hoor je er niets meer over.
Bij het bedrijfsleven is het niet veel anders. Eerst de contracten daarna wordt wel gekeken wat er van overblijft.

En nee ik heb geen broodheer in die hoek, wel veel leest van die OSS fanatici die hun geloof belangrijker vinden dan informatieveiligheid.
05-05-2020, 07:45 door The FOSS - Bijgewerkt: 05-05-2020, 08:26
Door Anoniem: Maar terug on-topic. Hoeveel LineageOS is (nog) niet volledig gepatcht tegen Blueborn en Out-of-Bounds-write exploits?

luntrus

Dát is off-topic want het topic gaat over een hack van de servers van Lineage OS, waarbij de broncode van Lineage OS zelf niet is geraakt en die mogelijk was omdat er extreem weinig tijd was om de patch, die een kwetsbaarheid van het gebruikte Salt-framework verhielp, te installeren. On-topic zijn dus discussies over hoe er met dergelijke korte tijdsvensters omgegaan kan worden en dat bedrijven daarvoor - of ze willen of niet i.v.m. met 'voorspelbaarheid' van onderhoud van hun systemen - toch flexibiliteit m.b.t. noodonderhoudsprocedures zullen moeten inbouwen en behouden. Een inflexibele patchdinsdag - waar de overwerkte systeembeheerder zich graag achter mag verschuilen - is niet afdoende, want de klant is uiteindelijk de dupe hiervan.
07-05-2020, 08:24 door Anoniem
Door souplost:
Grote ondernemingen doen dit ook los van het OS. Als er een Linux server een belangrijke patch heeft (gelukkig komt kritiek niet zo vaak voor) dan nog moet er gewacht worden tot de maandelijkse patchronde.
Leuk bedacht. Maar iedere aanpassing is een change. En een OS is tegenwoordig niet echt meer los te zien. En iedere aanpassing kan effect hebben op je applicaties. In een Enterprise moet je daar gewoon rekening mee houden.
Apache, tomcat, databases, openssl, (en nog nog vele anderen) hebben regelmatig security update en die updates kunnen je applicaties beïnvloeden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.