новые o hakiranju infrastrukture decentralizovane platforme za razmenu poruka Matrix, o čemu ujutro. Problematična karika preko koje su napadači prodrli bio je sistem kontinuirane integracije Dženkinsa, koji je hakovan 13. marta. Tada je na Jenkins serveru presretnuta prijava jednog od administratora koju je preusmjerio SSH agent, a 4. aprila napadači su dobili pristup drugim infrastrukturnim serverima.
Tokom drugog napada, web stranica matrix.org je preusmjerena na drugi server (matrixnotorg.github.io) promjenom DNS parametara, koristeći ključ za API sistema za isporuku sadržaja Cloudflare presretnut tokom prvog napada. Prilikom rekonstrukcije sadržaja servera nakon prvog hakovanja, Matrix administratori su samo ažurirali nove lične ključeve i propustili ažuriranje ključa na Cloudflare.
Tokom drugog napada, Matrix serveri su ostali netaknuti; promjene su bile ograničene samo na zamjenu adresa u DNS-u. Ako je korisnik već promijenio lozinku nakon prvog napada, nema potrebe da je mijenja drugi put. Ali ako lozinka još nije promijenjena, potrebno ju je ažurirati što je prije moguće, jer je potvrđeno curenje baze podataka s hashovima lozinki. Trenutni plan je pokretanje procesa prisilnog resetiranja lozinke sljedeći put kada se prijavite.
Osim curenja lozinki, potvrđeno je i da su GPG ključevi koji se koriste za generiranje digitalnih potpisa za pakete u Debian Synapse repozitoriju i Riot/Web izdanjima pali u ruke napadača. Ključevi su bili zaštićeni lozinkom. Ključevi su u ovom trenutku već povučeni. Ključevi su presretnuti 4. aprila, od tada nije pušten nijedan Synapse update, ali je pušten Riot/Web klijent 1.0.7 (preliminarna provjera je pokazala da nije kompromitovan).
Napadač je na GitHub objavio niz izvještaja s detaljima napada i savjetima za povećanje zaštite, ali su oni izbrisani. Međutim, arhivirani izvještaji .
Na primjer, napadač je prijavio da bi Matrix programeri trebali dvofaktorska autentikacija ili barem ne korištenje preusmjeravanja SSH agenta (“ForwardAgent da”), tada bi prodor u infrastrukturu bio blokiran. Eskalacija napada takođe bi se mogla zaustaviti davanjem programera samo neophodnih privilegija, a ne na svim serverima.
Osim toga, kritikovana je praksa skladištenja ključeva za kreiranje digitalnih potpisa na proizvodnim serverima; I dalje napada , da bi programeri Matrixa redovno revidirali dnevnike i analizirali anomalije, rano uočili tragove hakovanja (CI hak je ostao neotkriven mjesec dana). Još jedan problem pohranjivanje svih konfiguracijskih datoteka u Git, što je omogućilo procjenu postavki drugih hostova ako je jedan od njih hakovan. Pristup preko SSH do infrastrukturnih servera ograničeno na sigurnu internu mrežu, što je omogućilo povezivanje s njima sa bilo koje eksterne adrese.
Izvoropennet.ru
[En]новые o hakiranju infrastrukture decentralizovane platforme za razmenu poruka Matrix, o čemu ujutro. Problematična karika preko koje su napadači prodrli bio je sistem kontinuirane integracije Dženkinsa, koji je hakovan 13. marta. Tada je na Jenkins serveru presretnuta prijava jednog od administratora koju je preusmjerio SSH agent, a 4. aprila napadači su dobili pristup drugim infrastrukturnim serverima.
Tokom drugog napada, web stranica matrix.org je preusmjerena na drugi server (matrixnotorg.github.io) promjenom DNS parametara, koristeći ključ za API sistema za isporuku sadržaja Cloudflare presretnut tokom prvog napada. Prilikom rekonstrukcije sadržaja servera nakon prvog hakovanja, Matrix administratori su samo ažurirali nove lične ključeve i propustili ažuriranje ključa na Cloudflare.
Tokom drugog napada, Matrix serveri su ostali netaknuti; promjene su bile ograničene samo na zamjenu adresa u DNS-u. Ako je korisnik već promijenio lozinku nakon prvog napada, nema potrebe da je mijenja drugi put. Ali ako lozinka još nije promijenjena, potrebno ju je ažurirati što je prije moguće, jer je potvrđeno curenje baze podataka s hashovima lozinki. Trenutni plan je pokretanje procesa prisilnog resetiranja lozinke sljedeći put kada se prijavite.
Osim curenja lozinki, potvrđeno je i da su GPG ključevi koji se koriste za generiranje digitalnih potpisa za pakete u Debian Synapse repozitoriju i Riot/Web izdanjima pali u ruke napadača. Ključevi su bili zaštićeni lozinkom. Ključevi su u ovom trenutku već povučeni. Ključevi su presretnuti 4. aprila, od tada nije pušten nijedan Synapse update, ali je pušten Riot/Web klijent 1.0.7 (preliminarna provjera je pokazala da nije kompromitovan).
Napadač je na GitHub objavio niz izvještaja s detaljima napada i savjetima za povećanje zaštite, ali su oni izbrisani. Međutim, arhivirani izvještaji .
Na primjer, napadač je prijavio da bi Matrix programeri trebali dvofaktorska autentikacija ili barem ne korištenje preusmjeravanja SSH agenta (“ForwardAgent da”), tada bi prodor u infrastrukturu bio blokiran. Eskalacija napada takođe bi se mogla zaustaviti davanjem programera samo neophodnih privilegija, a ne na svim serverima.
Osim toga, kritikovana je praksa skladištenja ključeva za kreiranje digitalnih potpisa na proizvodnim serverima; I dalje napada , da bi programeri Matrixa redovno revidirali dnevnike i analizirali anomalije, rano uočili tragove hakovanja (CI hak je ostao neotkriven mjesec dana). Još jedan problem pohranjivanje svih konfiguracijskih datoteka u Git, što je omogućilo procjenu postavki drugih hostova ako je jedan od njih hakovan. Pristup preko SSH do infrastrukturnih servera ograničeno na sigurnu internu mrežu, što je omogućilo povezivanje s njima sa bilo koje eksterne adrese.
izvor: opennet.ru
[:]