周六深夜,LineageOS 官方在推特上确认,其核心基础设施遭到了黑客入侵。幸运的是,在攻击者造成任何实质性损害之前就被发现了。这次攻击利用的是Salt主数据库里的一个尚未修复的漏洞。CVE-2020-11652 和 CVE-2020-11653 这两个高危漏洞给Saltstack框架带来了严重风险,攻击者可以轻易绕过登录验证并执行远程代码。只要两行简单的脚本,就能够在公网暴露的 Salt 主服务器上获得完全控制权。网络安全公司F-Secure早些时候已经披露了这些漏洞。尽管如此,由于Saltstack作为一套开源自动化框架,在配置、部署和升级数据中心和云服务器方面被广泛使用,所以许多未打补丁的Salt服务器还在运行中。 LineageOS之所以选择Salt作为内部编排引擎,是为了提高开发、测试和发布的效率。不幸的是,这次攻击也暴露了基础设施安全和代码安全同样重要这个问题。尽管这次入侵没有影响到用户数据和系统镜像,但依然给开源项目敲响了警钟。LineageOS及时透明地通报了这次事件并迅速隔离风险给用户留下了深刻印象。GitHub 和 GitLab 是LineageOS源代码托管的平台,它继承自 2016 年分叉的CyanogenMod项目,拥有超过 109 种手机型号适配并且有170万有效安装量。 由于LineageOS社区遍布五大洲并且开放给全球开发者贡献,在Saltstack框架上遭到攻击后所引发的影响需要特别注意。虽然影响有限但这次事件提醒所有开源维护者需要及时跟进安全公告和定期审计运维框架来避免成为下一个目标。