новые mərkəzləşdirilməmiş mesajlaşma platforması Matrix-in infrastrukturunun sındırılması haqqında, səhər. Təcavüzkarların nüfuz etdiyi problemli əlaqə martın 13-də sındırılmış Jenkins davamlı inteqrasiya sistemi idi. Daha sonra Jenkins serverində SSH agenti tərəfindən yönləndirilən administratorlardan birinin girişi ələ keçirilib və aprelin 4-də təcavüzkarlar digər infrastruktur serverlərinə giriş əldə ediblər.
İkinci hücum zamanı matrix.org saytı birinci hücum zamanı ələ keçirilən Cloudflare məzmun çatdırılma sisteminin API açarından istifadə edərək DNS parametrlərini dəyişdirərək başqa serverə (matrixnotorg.github.io) yönləndirilib. İlk hackdən sonra serverlərin məzmununu yenidən qurarkən, Matrix administratorları yalnız yeni şəxsi açarları yenilədilər və Cloudflare açarını yeniləməyi qaçırdılar.
İkinci hücum zamanı Matrix serverləri toxunulmaz qaldı, dəyişikliklər yalnız DNS-də ünvanların dəyişdirilməsi ilə məhdudlaşdı. Əgər istifadəçi birinci hücumdan sonra parolu artıq dəyişibsə, onu ikinci dəfə dəyişməyə ehtiyac yoxdur. Lakin parol hələ dəyişdirilməyibsə, parol hashləri ilə verilənlər bazasının sızması təsdiqləndiyi üçün onu mümkün qədər tez yeniləmək lazımdır. Cari plan növbəti dəfə daxil olanda məcburi parol sıfırlama prosesini başlamaqdır.
Şifrələrin sızması ilə yanaşı, Debian Synapse deposunda və Riot/Web buraxılışlarında paketlər üçün rəqəmsal imza yaratmaq üçün istifadə edilən GPG açarlarının təcavüzkarların əlinə keçdiyi də təsdiqlənib. Açarlar parolla qorunurdu. Bu anda açarlar artıq ləğv edilib. Açarlar aprelin 4-də ələ keçirildi, o vaxtdan bəri heç bir Synapse yeniləməsi buraxılmadı, lakin Riot/Web müştəri 1.0.7 buraxıldı (ilkin yoxlama onun təhlükəyə məruz qalmadığını göstərdi).
Təcavüzkar GitHub-da hücumun təfərrüatları və müdafiəni artırmaq üçün məsləhətlər ilə bir sıra hesabatlar yerləşdirdi, lakin onlar silindi. Bununla belə, arxiv hesabatları .
Məsələn, təcavüzkar Matrix tərtibatçılarının etməli olduğunu bildirdi iki faktorlu autentifikasiya və ya ən azı SSH agent yönləndirməsindən istifadə etməsəniz (“ForwardAgent bəli”), o zaman infrastruktura daxil olma bloklanacaq. Hücumun eskalasiyasını inkişaf etdiricilərə deyil, yalnız lazımi imtiyazlar verməklə də dayandırmaq olar bütün serverlərdə.
Bundan əlavə, istehsal serverlərində rəqəmsal imza yaratmaq üçün açarların saxlanması təcrübəsi tənqid edildi, bu məqsədlər üçün ayrıca təcrid olunmuş host ayrılmalıdır. Hələ də hücum edir , əgər Matrix tərtibatçıları jurnalları müntəzəm olaraq yoxlasalar və anomaliyaları təhlil etsəydilər, onlar erkən hack izlərini görəcəkdilər (CI hack bir ay ərzində aşkar edilmədi). Başqa bir problem bütün konfiqurasiya fayllarının Git-də saxlanması, onlardan biri sındırılıbsa, digər hostların parametrlərini qiymətləndirməyə imkan verdi. SSH vasitəsilə infrastruktur serverlərinə giriş təhlükəsiz daxili şəbəkə ilə məhdudlaşır ki, bu da onlara istənilən xarici ünvandan qoşulmağa imkan verir.
Mənbəopennet.ru
[: az]новые mərkəzləşdirilməmiş mesajlaşma platforması Matrix-in infrastrukturunun sındırılması haqqında, səhər. Təcavüzkarların nüfuz etdiyi problemli əlaqə martın 13-də sındırılmış Jenkins davamlı inteqrasiya sistemi idi. Daha sonra Jenkins serverində SSH agenti tərəfindən yönləndirilən administratorlardan birinin girişi ələ keçirilib və aprelin 4-də təcavüzkarlar digər infrastruktur serverlərinə giriş əldə ediblər.
İkinci hücum zamanı matrix.org saytı birinci hücum zamanı ələ keçirilən Cloudflare məzmun çatdırılma sisteminin API açarından istifadə edərək DNS parametrlərini dəyişdirərək başqa serverə (matrixnotorg.github.io) yönləndirilib. İlk hackdən sonra serverlərin məzmununu yenidən qurarkən, Matrix administratorları yalnız yeni şəxsi açarları yenilədilər və Cloudflare açarını yeniləməyi qaçırdılar.
İkinci hücum zamanı Matrix serverləri toxunulmaz qaldı, dəyişikliklər yalnız DNS-də ünvanların dəyişdirilməsi ilə məhdudlaşdı. Əgər istifadəçi birinci hücumdan sonra parolu artıq dəyişibsə, onu ikinci dəfə dəyişməyə ehtiyac yoxdur. Lakin parol hələ dəyişdirilməyibsə, parol hashləri ilə verilənlər bazasının sızması təsdiqləndiyi üçün onu mümkün qədər tez yeniləmək lazımdır. Cari plan növbəti dəfə daxil olanda məcburi parol sıfırlama prosesini başlamaqdır.
Şifrələrin sızması ilə yanaşı, Debian Synapse deposunda və Riot/Web buraxılışlarında paketlər üçün rəqəmsal imza yaratmaq üçün istifadə edilən GPG açarlarının təcavüzkarların əlinə keçdiyi də təsdiqlənib. Açarlar parolla qorunurdu. Bu anda açarlar artıq ləğv edilib. Açarlar aprelin 4-də ələ keçirildi, o vaxtdan bəri heç bir Synapse yeniləməsi buraxılmadı, lakin Riot/Web müştəri 1.0.7 buraxıldı (ilkin yoxlama onun təhlükəyə məruz qalmadığını göstərdi).
Təcavüzkar GitHub-da hücumun təfərrüatları və müdafiəni artırmaq üçün məsləhətlər ilə bir sıra hesabatlar yerləşdirdi, lakin onlar silindi. Bununla belə, arxiv hesabatları .
Məsələn, təcavüzkar Matrix tərtibatçılarının etməli olduğunu bildirdi iki faktorlu autentifikasiya və ya ən azı SSH agent yönləndirməsindən istifadə etməsəniz (“ForwardAgent bəli”), o zaman infrastruktura daxil olma bloklanacaq. Hücumun eskalasiyasını inkişaf etdiricilərə deyil, yalnız lazımi imtiyazlar verməklə də dayandırmaq olar bütün serverlərdə.
Bundan əlavə, istehsal serverlərində rəqəmsal imza yaratmaq üçün açarların saxlanması təcrübəsi tənqid edildi, bu məqsədlər üçün ayrıca təcrid olunmuş host ayrılmalıdır. Hələ də hücum edir , əgər Matrix tərtibatçıları jurnalları müntəzəm olaraq yoxlasalar və anomaliyaları təhlil etsəydilər, onlar erkən hack izlərini görəcəkdilər (CI hack bir ay ərzində aşkar edilmədi). Başqa bir problem bütün konfiqurasiya fayllarının Git-də saxlanması, onlardan biri sındırılıbsa, digər hostların parametrlərini qiymətləndirməyə imkan verdi. SSH vasitəsilə infrastruktur serverlərinə giriş təhlükəsiz daxili şəbəkə ilə məhdudlaşır ki, bu da onlara istənilən xarici ünvandan qoşulmağa imkan verir.
Mənbə: opennet.ru
[:]