новые sobre la pirateria de la infraestructura de la plataforma de missatgeria descentralitzada Matrix, sobre la qual Pel matí. L'enllaç problemàtic a través del qual van penetrar els atacants va ser el sistema d'integració contínua de Jenkins, que va ser piratejat el 13 de març. Aleshores, al servidor de Jenkins, es va interceptar l'inici de sessió d'un dels administradors, redirigit per un agent SSH, i el 4 d'abril, els atacants van obtenir accés a altres servidors d'infraestructura.
Durant el segon atac, el lloc matrix.org es va redirigir a un altre servidor (matrixnotorg.github.io) canviant la configuració de DNS, utilitzant la clau de l'API del sistema de lliurament de contingut Cloudflare interceptada durant el primer atac. Quan es van reconstruir el contingut dels servidors després del primer pirateig, els administradors de Matrix només van actualitzar les claus personals noves i no van actualitzar la clau de Cloudflare.
Durant el segon atac, els servidors de Matrix es van mantenir intacs; els canvis es van limitar només a substituir adreces al DNS. Si l'usuari ja ha canviat la contrasenya després del primer atac, no cal canviar-la una segona vegada. Però si encara no s'ha canviat la contrasenya, cal actualitzar-la tan aviat com sigui possible, ja que s'ha confirmat la filtració de la base de dades amb hash de contrasenya. El pla actual és iniciar un procés de restabliment de contrasenya forçat la propera vegada que inicieu sessió.
A més de la filtració de contrasenyes, també s'ha confirmat que les claus GPG utilitzades per generar signatures digitals per als paquets del repositori Debian Synapse i les versions Riot/Web han caigut en mans dels atacants. Les claus estaven protegides amb contrasenya. Les claus ja han estat revocades en aquest moment. Les claus es van interceptar el 4 d'abril, des d'aleshores no s'han publicat actualitzacions de Synapse, però es va llançar el client Riot/Web 1.0.7 (una comprovació preliminar va demostrar que no estava compromès).
L'atacant va publicar una sèrie d'informes a GitHub amb detalls de l'atac i consells per augmentar la protecció, però es van eliminar. No obstant això, els informes arxivats .
Per exemple, l'atacant va informar que els desenvolupadors de Matrix ho haurien de fer autenticació de dos factors o almenys no utilitzar la redirecció de l'agent SSH ("ForwardAgent sí"), llavors es bloquejaria la penetració a la infraestructura. L'escalada de l'atac també es podria aturar donant als desenvolupadors només els privilegis necessaris, en lloc de a tots els servidors.
A més, es va criticar la pràctica d'emmagatzemar claus per crear signatures digitals en servidors de producció per a aquests propòsits. Encara atacant , que si els desenvolupadors de Matrix haguessin auditat regularment els registres i analitzat anomalies, haurien notat rastres d'un pirateig des del principi (el pirateig de CI no es va detectar durant un mes). Un altre problema emmagatzemar tots els fitxers de configuració a Git, cosa que va permetre avaluar la configuració d'altres amfitrions si un d'ells era piratejat. Accés mitjançant SSH als servidors d'infraestructura limitada a una xarxa interna segura, que permetia connectar-s'hi des de qualsevol adreça externa.
Fontopennet.ru
[: És]новые sobre la pirateria de la infraestructura de la plataforma de missatgeria descentralitzada Matrix, sobre la qual Pel matí. L'enllaç problemàtic a través del qual van penetrar els atacants va ser el sistema d'integració contínua de Jenkins, que va ser piratejat el 13 de març. Aleshores, al servidor de Jenkins, es va interceptar l'inici de sessió d'un dels administradors, redirigit per un agent SSH, i el 4 d'abril, els atacants van obtenir accés a altres servidors d'infraestructura.
Durant el segon atac, el lloc matrix.org es va redirigir a un altre servidor (matrixnotorg.github.io) canviant la configuració de DNS, utilitzant la clau de l'API del sistema de lliurament de contingut Cloudflare interceptada durant el primer atac. Quan es van reconstruir el contingut dels servidors després del primer pirateig, els administradors de Matrix només van actualitzar les claus personals noves i no van actualitzar la clau de Cloudflare.
Durant el segon atac, els servidors de Matrix es van mantenir intacs; els canvis es van limitar només a substituir adreces al DNS. Si l'usuari ja ha canviat la contrasenya després del primer atac, no cal canviar-la una segona vegada. Però si encara no s'ha canviat la contrasenya, cal actualitzar-la tan aviat com sigui possible, ja que s'ha confirmat la filtració de la base de dades amb hash de contrasenya. El pla actual és iniciar un procés de restabliment de contrasenya forçat la propera vegada que inicieu sessió.
A més de la filtració de contrasenyes, també s'ha confirmat que les claus GPG utilitzades per generar signatures digitals per als paquets del repositori Debian Synapse i les versions Riot/Web han caigut en mans dels atacants. Les claus estaven protegides amb contrasenya. Les claus ja han estat revocades en aquest moment. Les claus es van interceptar el 4 d'abril, des d'aleshores no s'han publicat actualitzacions de Synapse, però es va llançar el client Riot/Web 1.0.7 (una comprovació preliminar va demostrar que no estava compromès).
L'atacant va publicar una sèrie d'informes a GitHub amb detalls de l'atac i consells per augmentar la protecció, però es van eliminar. No obstant això, els informes arxivats .
Per exemple, l'atacant va informar que els desenvolupadors de Matrix ho haurien de fer autenticació de dos factors o almenys no utilitzar la redirecció de l'agent SSH ("ForwardAgent sí"), llavors es bloquejaria la penetració a la infraestructura. L'escalada de l'atac també es podria aturar donant als desenvolupadors només els privilegis necessaris, en lloc de a tots els servidors.
A més, es va criticar la pràctica d'emmagatzemar claus per crear signatures digitals en servidors de producció per a aquests propòsits. Encara atacant , que si els desenvolupadors de Matrix haguessin auditat regularment els registres i analitzat anomalies, haurien notat rastres d'un pirateig des del principi (el pirateig de CI no es va detectar durant un mes). Un altre problema emmagatzemar tots els fitxers de configuració a Git, cosa que va permetre avaluar la configuració d'altres amfitrions si un d'ells era piratejat. Accés mitjançant SSH als servidors d'infraestructura limitada a una xarxa interna segura, que permetia connectar-s'hi des de qualsevol adreça externa.
Font: opennet.ru
[:]