تفاصيل حول اختراق ماتريكس الثاني. تعرض مفاتيح مشروع GPG للخطر

[رو]

نشرت новые التفاصيل حول اختراق البنية التحتية لمنصة الرسائل اللامركزية Matrix، والتي حولها ذكرت في الصباح. وكان الرابط الإشكالي الذي اخترق المهاجمون من خلاله هو نظام جينكينز للتكامل المستمر، والذي تم اختراقه في 13 مارس. بعد ذلك، على خادم Jenkins، تم اعتراض تسجيل دخول أحد المسؤولين، الذي تمت إعادة توجيهه بواسطة وكيل SSH، وفي 4 أبريل، تمكن المهاجمون من الوصول إلى خوادم البنية التحتية الأخرى.

أثناء الهجوم الثاني ، تمت إعادة توجيه موقع matrix.org إلى خادم آخر (matrixnotorg.github.io) عن طريق تغيير إعدادات DNS ، باستخدام مفتاح واجهة برمجة تطبيقات نظام توصيل محتوى Cloudflare التي تم اعتراضها أثناء الهجوم الأول. عند إعادة بناء محتوى الخوادم بعد الاختراق الأول ، قام مسؤولو Matrix بتحديث المفاتيح الشخصية الجديدة فقط وفقدوا تحديث المفتاح إلى Cloudflare.

أثناء الهجوم الثاني، ظلت خوادم Matrix دون تغيير، واقتصرت التغييرات فقط على استبدال العناوين في DNS. إذا قام المستخدم بالفعل بتغيير كلمة المرور بعد الهجوم الأول، فلا داعي لتغييرها مرة أخرى. ولكن إذا لم يتم تغيير كلمة المرور بعد، فيجب تحديثها في أقرب وقت ممكن، حيث تم تأكيد تسرب قاعدة البيانات مع تجزئات كلمة المرور. تتمثل الخطة الحالية في بدء عملية إعادة تعيين كلمة المرور القسرية في المرة التالية التي تقوم فيها بتسجيل الدخول.

بالإضافة إلى تسرب كلمات المرور، تم التأكيد أيضًا على أن مفاتيح GPG المستخدمة لإنشاء التوقيعات الرقمية للحزم الموجودة في مستودع Debian Synapse وإصدارات Riot/Web قد وقعت في أيدي المهاجمين. كانت المفاتيح محمية بكلمة مرور. لقد تم بالفعل إبطال المفاتيح في هذا الوقت. تم اعتراض المفاتيح في 4 أبريل، ومنذ ذلك الحين لم يتم إصدار أي تحديثات لـ Synapse، ولكن تم إصدار عميل Riot/Web 1.0.7 (أظهر الفحص الأولي أنه لم يتم اختراقه).

ونشر المهاجم سلسلة من التقارير على GitHub تحتوي على تفاصيل الهجوم ونصائح لزيادة الحماية، لكن تم حذفها. ومع ذلك، فإن التقارير المؤرشفة نجا.
على سبيل المثال، أبلغ المهاجم أنه ينبغي على مطوري Matrix القيام بذلك استخدم المصادقة الثنائية أو على الأقل عدم استخدام إعادة توجيه وكيل SSH ("نعم ForwardAgent")، فسيتم حظر اختراق البنية التحتية. ويمكن أيضًا إيقاف تصعيد الهجوم من خلال منح المطورين الامتيازات الضرورية فقط، بدلاً من الوصول إلى الجذر الكامل على كافة الخوادم.

بالإضافة إلى ذلك، تم انتقاد ممارسة تخزين المفاتيح لإنشاء التوقيعات الرقمية على خوادم الإنتاج؛ وينبغي تخصيص مضيف منفصل منفصل لهذه الأغراض. لا يزال يهاجم сообщил، أنه إذا قام مطورو Matrix بمراجعة السجلات بشكل منتظم وتحليل الحالات الشاذة، لكانوا قد لاحظوا آثار الاختراق في وقت مبكر (لم يتم اكتشاف اختراق CI لمدة شهر). مشكلة اخرى كان تخزين جميع ملفات التكوين في Git، مما جعل من الممكن تقييم إعدادات المضيفين الآخرين في حالة اختراق أحدهم. الوصول عبر SSH إلى خوادم البنية التحتية لم يكن يقتصر على شبكة داخلية آمنة، مما يجعل من الممكن الاتصال بهم من أي عنوان خارجي.

مصدرopennet.ru

[أون]

نشرت новые التفاصيل حول اختراق البنية التحتية لمنصة الرسائل اللامركزية Matrix، والتي حولها ذكرت في الصباح. وكان الرابط الإشكالي الذي اخترق المهاجمون من خلاله هو نظام جينكينز للتكامل المستمر، والذي تم اختراقه في 13 مارس. بعد ذلك، على خادم Jenkins، تم اعتراض تسجيل دخول أحد المسؤولين، الذي تمت إعادة توجيهه بواسطة وكيل SSH، وفي 4 أبريل، تمكن المهاجمون من الوصول إلى خوادم البنية التحتية الأخرى.

أثناء الهجوم الثاني ، تمت إعادة توجيه موقع matrix.org إلى خادم آخر (matrixnotorg.github.io) عن طريق تغيير إعدادات DNS ، باستخدام مفتاح واجهة برمجة تطبيقات نظام توصيل محتوى Cloudflare التي تم اعتراضها أثناء الهجوم الأول. عند إعادة بناء محتوى الخوادم بعد الاختراق الأول ، قام مسؤولو Matrix بتحديث المفاتيح الشخصية الجديدة فقط وفقدوا تحديث المفتاح إلى Cloudflare.

أثناء الهجوم الثاني، ظلت خوادم Matrix دون تغيير، واقتصرت التغييرات فقط على استبدال العناوين في DNS. إذا قام المستخدم بالفعل بتغيير كلمة المرور بعد الهجوم الأول، فلا داعي لتغييرها مرة أخرى. ولكن إذا لم يتم تغيير كلمة المرور بعد، فيجب تحديثها في أقرب وقت ممكن، حيث تم تأكيد تسرب قاعدة البيانات مع تجزئات كلمة المرور. تتمثل الخطة الحالية في بدء عملية إعادة تعيين كلمة المرور القسرية في المرة التالية التي تقوم فيها بتسجيل الدخول.

بالإضافة إلى تسرب كلمات المرور، تم التأكيد أيضًا على أن مفاتيح GPG المستخدمة لإنشاء التوقيعات الرقمية للحزم الموجودة في مستودع Debian Synapse وإصدارات Riot/Web قد وقعت في أيدي المهاجمين. كانت المفاتيح محمية بكلمة مرور. لقد تم بالفعل إبطال المفاتيح في هذا الوقت. تم اعتراض المفاتيح في 4 أبريل، ومنذ ذلك الحين لم يتم إصدار أي تحديثات لـ Synapse، ولكن تم إصدار عميل Riot/Web 1.0.7 (أظهر الفحص الأولي أنه لم يتم اختراقه).

ونشر المهاجم سلسلة من التقارير على GitHub تحتوي على تفاصيل الهجوم ونصائح لزيادة الحماية، لكن تم حذفها. ومع ذلك، فإن التقارير المؤرشفة نجا.
على سبيل المثال، أبلغ المهاجم أنه ينبغي على مطوري Matrix القيام بذلك استخدم المصادقة الثنائية أو على الأقل عدم استخدام إعادة توجيه وكيل SSH ("نعم ForwardAgent")، فسيتم حظر اختراق البنية التحتية. ويمكن أيضًا إيقاف تصعيد الهجوم من خلال منح المطورين الامتيازات الضرورية فقط، بدلاً من الوصول إلى الجذر الكامل على كافة الخوادم.

بالإضافة إلى ذلك، تم انتقاد ممارسة تخزين المفاتيح لإنشاء التوقيعات الرقمية على خوادم الإنتاج؛ وينبغي تخصيص مضيف منفصل منفصل لهذه الأغراض. لا يزال يهاجم сообщил، أنه إذا قام مطورو Matrix بمراجعة السجلات بشكل منتظم وتحليل الحالات الشاذة، لكانوا قد لاحظوا آثار الاختراق في وقت مبكر (لم يتم اكتشاف اختراق CI لمدة شهر). مشكلة اخرى كان تخزين جميع ملفات التكوين في Git، مما جعل من الممكن تقييم إعدادات المضيفين الآخرين في حالة اختراق أحدهم. الوصول عبر SSH إلى خوادم البنية التحتية لم يكن يقتصر على شبكة داخلية آمنة، مما يجعل من الممكن الاتصال بهم من أي عنوان خارجي.

المصدر: opennet.ru

[:]