новые oor die inbraak van die infrastruktuur van die gedesentraliseerde boodskapplatform Matrix, waaroor in die oggend. Die problematiese skakel waardeur die aanvallers binnegedring het, was die Jenkins deurlopende integrasiestelsel, wat op 13 Maart gekap is. Toe, op die Jenkins-bediener, is die aanmelding van een van die administrateurs, wat deur 'n SSH-agent herlei is, onderskep, en op 4 April het die aanvallers toegang tot ander infrastruktuurbedieners gekry.
Tydens die tweede aanval is die matrix.org-webwerf na 'n ander bediener (matrixnotorg.github.io) herlei deur die DNS-instellings te verander, met behulp van die sleutel tot die Cloudflare-inhoudafleweringstelsel-API wat tydens die eerste aanval onderskep is. By die herbou van die inhoud van die bedieners na die eerste hack, het Matrix-administrateurs slegs nuwe persoonlike sleutels opgedateer en die opdatering van die sleutel na Cloudflare gemis.
Tydens die tweede aanval het die Matrix-bedieners onaangeraak gebly; veranderinge was slegs beperk tot die vervanging van adresse in die DNS. As die gebruiker reeds die wagwoord na die eerste aanval verander het, is dit nie nodig om dit 'n tweede keer te verander nie. Maar as die wagwoord nog nie verander is nie, moet dit so gou moontlik opgedateer word, aangesien die lekkasie van die databasis met wagwoord-hashes bevestig is. Die huidige plan is om 'n gedwonge wagwoordterugstellingproses te begin die volgende keer as jy aanmeld.
Benewens die uitlek van wagwoorde, is dit ook bevestig dat GPG-sleutels wat gebruik word om digitale handtekeninge vir pakkette in die Debian Synapse-bewaarplek te genereer en Riot/Web-vrystellings in die hande van die aanvallers geval het. Die sleutels was wagwoordbeskerm. Die sleutels is reeds in hierdie stadium teruggetrek. Die sleutels is op 4 April onderskep, sedertdien is geen Synapse-opdaterings vrygestel nie, maar die Riot/Web-kliënt 1.0.7 is vrygestel ('n voorlopige kontrole het getoon dat dit nie gekompromitteer is nie).
Die aanvaller het 'n reeks verslae op GitHub geplaas met besonderhede van die aanval en wenke om beskerming te verhoog, maar dit is uitgevee. Die argief verslae egter .
Die aanvaller het byvoorbeeld gerapporteer dat die Matrix-ontwikkelaars moet twee-faktor-verifikasie of ten minste nie die gebruik van SSH-agentherleiding nie ("ForwardAgent ja"), dan sal penetrasie in die infrastruktuur geblokkeer word. Die eskalasie van die aanval kan ook gestop word deur ontwikkelaars net die nodige voorregte te gee, eerder as op alle bedieners.
Daarbenewens is die praktyk om sleutels te stoor vir die skep van digitale handtekeninge op produksiebedieners gekritiseer; 'n aparte geïsoleerde gasheer moet vir sulke doeleindes toegewys word. Steeds aanval , dat as Matrix-ontwikkelaars gereeld logs geoudit het en anomalieë ontleed het, hulle vroeg reeds spore van 'n hack sou opgemerk het (die CI-hack het 'n maand lank onopgemerk gebly). Nog 'n probleem die stoor van alle konfigurasielêers in Git, wat dit moontlik gemaak het om die instellings van ander gashere te evalueer as een van hulle gekap is. Toegang via SSH tot infrastruktuurbedieners beperk tot 'n veilige interne netwerk, wat dit moontlik gemaak het om vanaf enige eksterne adres aan hulle te koppel.
Bronopennet.ru
[: af]новые oor die inbraak van die infrastruktuur van die gedesentraliseerde boodskapplatform Matrix, waaroor in die oggend. Die problematiese skakel waardeur die aanvallers binnegedring het, was die Jenkins deurlopende integrasiestelsel, wat op 13 Maart gekap is. Toe, op die Jenkins-bediener, is die aanmelding van een van die administrateurs, wat deur 'n SSH-agent herlei is, onderskep, en op 4 April het die aanvallers toegang tot ander infrastruktuurbedieners gekry.
Tydens die tweede aanval is die matrix.org-webwerf na 'n ander bediener (matrixnotorg.github.io) herlei deur die DNS-instellings te verander, met behulp van die sleutel tot die Cloudflare-inhoudafleweringstelsel-API wat tydens die eerste aanval onderskep is. By die herbou van die inhoud van die bedieners na die eerste hack, het Matrix-administrateurs slegs nuwe persoonlike sleutels opgedateer en die opdatering van die sleutel na Cloudflare gemis.
Tydens die tweede aanval het die Matrix-bedieners onaangeraak gebly; veranderinge was slegs beperk tot die vervanging van adresse in die DNS. As die gebruiker reeds die wagwoord na die eerste aanval verander het, is dit nie nodig om dit 'n tweede keer te verander nie. Maar as die wagwoord nog nie verander is nie, moet dit so gou moontlik opgedateer word, aangesien die lekkasie van die databasis met wagwoord-hashes bevestig is. Die huidige plan is om 'n gedwonge wagwoordterugstellingproses te begin die volgende keer as jy aanmeld.
Benewens die uitlek van wagwoorde, is dit ook bevestig dat GPG-sleutels wat gebruik word om digitale handtekeninge vir pakkette in die Debian Synapse-bewaarplek te genereer en Riot/Web-vrystellings in die hande van die aanvallers geval het. Die sleutels was wagwoordbeskerm. Die sleutels is reeds in hierdie stadium teruggetrek. Die sleutels is op 4 April onderskep, sedertdien is geen Synapse-opdaterings vrygestel nie, maar die Riot/Web-kliënt 1.0.7 is vrygestel ('n voorlopige kontrole het getoon dat dit nie gekompromitteer is nie).
Die aanvaller het 'n reeks verslae op GitHub geplaas met besonderhede van die aanval en wenke om beskerming te verhoog, maar dit is uitgevee. Die argief verslae egter .
Die aanvaller het byvoorbeeld gerapporteer dat die Matrix-ontwikkelaars moet twee-faktor-verifikasie of ten minste nie die gebruik van SSH-agentherleiding nie ("ForwardAgent ja"), dan sal penetrasie in die infrastruktuur geblokkeer word. Die eskalasie van die aanval kan ook gestop word deur ontwikkelaars net die nodige voorregte te gee, eerder as op alle bedieners.
Daarbenewens is die praktyk om sleutels te stoor vir die skep van digitale handtekeninge op produksiebedieners gekritiseer; 'n aparte geïsoleerde gasheer moet vir sulke doeleindes toegewys word. Steeds aanval , dat as Matrix-ontwikkelaars gereeld logs geoudit het en anomalieë ontleed het, hulle vroeg reeds spore van 'n hack sou opgemerk het (die CI-hack het 'n maand lank onopgemerk gebly). Nog 'n probleem die stoor van alle konfigurasielêers in Git, wat dit moontlik gemaak het om die instellings van ander gashere te evalueer as een van hulle gekap is. Toegang via SSH tot infrastruktuurbedieners beperk tot 'n veilige interne netwerk, wat dit moontlik gemaak het om vanaf enige eksterne adres aan hulle te koppel.
Bron: opennet.ru
[:]