LineageOS Sunucularında Güvenlik Açığı
Akıllı telefonlar ve tabletler için kullanılan, Android tabanlı açık kaynaklı mobil işletim sistemi LineageOS’un altyapısında saldırganlar tarafından erişilerek kısa süreli bir kesintiye sebep oldu. Saldırının cumartesi günü saat 20.00 civarında gerçekleştiği ve saldırganların herhangi bir zarar vermeden tespit edildiği ve yeni yayınlamış olan ‘Salt’ güncellemesi sonrasında meydana gelen güvenlik açığından faydalanıldığı LineageOS ekibi tarafından açıklandı.
Salt, Saltstack tarafından sağlanan ve genellikle veri merkezleri, bulut sunucu kurulumları veya dahili ağlardaki sunucuları yönetmek ve otomatikleştirmek için kullanılan açık kaynaklı bir framework.
Bu haftanın başlarında siber güvenlik firması F-Secure, Salt çerçevesindeki Salt sistemlerini ele geçirmek için kullanılabilecek iki önemli güvenlik açığını açıkladı. İki güvenlik açığı, CVE-2020-11651 (bir kimlik doğrulama baypası) ve CVE-2020-11652 (bir dizin geçişi) olarak yayınlandı
LineageOS ekibi, işletim sisteminin kaynak kodunun etkilenmediğini ve ilgisiz bir sorun nedeniyle 30 Nisan’dan beri duraklatılmış olan işletim sistemi yapılarının da etkilenmediğini söyledi. Saldırı sonrası posta sunucuları, istatistikler, indirme portalı ve geliştirme sırasında kullanılan Gerrit Kod İnceleme Sistemi gibi yapıların etkilendiği gözlemlendi.