bag-o nga bahin sa pag-hack sa imprastraktura sa desentralisado nga platform sa pagmemensahe nga Matrix, kung diin sa buntag. Ang problema nga link diin ang mga tig-atake nakasulod mao ang Jenkins padayon nga sistema sa panagsama, nga gi-hack kaniadtong Marso 13. Dayon, sa server sa Jenkins, ang pag-login sa usa sa mga administrador, nga gi-redirect sa usa ka ahente sa SSH, na-intercept, ug niadtong Abril 4, ang mga tig-atake nakakuha og access sa ubang mga server sa imprastraktura.
Atol sa ikaduhang pag-atake, ang website sa matrix.org gi-redirect ngadto sa laing server (matrixnotorg.github.io) pinaagi sa pag-usab sa mga parameter sa DNS, gamit ang yawe sa Cloudflare content delivery system API nga nasakpan atol sa unang pag-atake. Kung gitukod pag-usab ang mga sulud sa mga server pagkahuman sa una nga pag-hack, ang mga tagdumala sa Matrix nag-update lamang sa bag-ong mga personal nga yawe ug gimingaw ang pag-update sa yawe sa Cloudflare.
Atol sa ikaduhang pag-atake, ang mga server sa Matrix nagpabilin nga wala matandog; ang mga pagbag-o limitado lamang sa pag-ilis sa mga adres sa DNS. Kung giusab na sa user ang password pagkahuman sa unang pag-atake, dili na kinahanglan nga usbon kini sa ikaduhang higayon. Apan kung ang password wala pa mabag-o, kini kinahanglan nga i-update sa labing madali, tungod kay ang pag-leak sa database nga adunay password hashes nakumpirma. Ang karon nga plano mao ang pagsugod sa usa ka pinugos nga proseso sa pag-reset sa password sa sunod higayon nga mag log in ka.
Dugang pa sa pagtulo sa mga password, gipamatud-an usab nga ang mga yawe sa GPG nga gigamit sa pagmugna og mga digital nga pirma para sa mga pakete sa Debian Synapse repository ug ang Riot/Web release nahulog sa mga kamot sa mga tig-atake. Ang mga yawe gipanalipdan sa password. Ang mga yawe gibawi na niining panahona. Ang mga yawe na-intercept niadtong Abril 4, sukad niadto walay Synapse updates nga gipagawas, apan ang Riot/Web client 1.0.7 gipagawas (usa ka pasiuna nga pagsusi nagpakita nga kini wala makompromiso).
Ang tig-atake nag-post og sunod-sunod nga mga taho sa GitHub nga adunay mga detalye sa pag-atake ug mga tip alang sa pagdugang sa proteksyon, apan kini gitangtang. Bisan pa, ang gi-archive nga mga taho .
Pananglitan, ang tig-atake nagtaho nga ang mga developer sa Matrix kinahanglan two-factor authentication o labing menos dili paggamit sa SSH agent redirection (βForwardAgent yesβ), unya ang pagsulod ngadto sa imprastraktura mababagan. Ang pag-uswag sa pag-atake mahimo usab nga mahunong pinaagi sa paghatag sa mga developers lamang sa gikinahanglan nga mga pribilehiyo, kay sa sa tanan nga mga server.
Dugang pa, gisaway ang praktis sa pagtipig sa mga yawe alang sa paghimo og mga digital nga pirma sa mga server sa produksiyon; usa ka bulag nga nahilit nga host kinahanglan nga igahin alang sa ingon nga mga katuyoan. Nag-atake pa , nga kung ang mga developer sa Matrix kanunay nga nag-awdit sa mga troso ug nag-analisar sa mga anomaliya, namatikdan unta nila ang mga pagsubay sa usa ka hack sayo pa (ang CI hack wala mamatikdi sulod sa usa ka bulan). Laing problema pagtipig sa tanan nga mga file sa pag-configure sa Git, nga nagpaposible sa pagtimbang-timbang sa mga setting sa ubang mga host kung ang usa niini gi-hack. Pag-access pinaagi sa SSH sa mga server sa imprastraktura limitado sa usa ka luwas nga internal nga network, nga nagpaposible sa pagkonektar kanila gikan sa bisan unsang eksternal nga adres.
Tinubdanopennet.ru
[: en]bag-o nga bahin sa pag-hack sa imprastraktura sa desentralisado nga platform sa pagmemensahe nga Matrix, kung diin sa buntag. Ang problema nga link diin ang mga tig-atake nakasulod mao ang Jenkins padayon nga sistema sa panagsama, nga gi-hack kaniadtong Marso 13. Dayon, sa server sa Jenkins, ang pag-login sa usa sa mga administrador, nga gi-redirect sa usa ka ahente sa SSH, na-intercept, ug niadtong Abril 4, ang mga tig-atake nakakuha og access sa ubang mga server sa imprastraktura.
Atol sa ikaduhang pag-atake, ang website sa matrix.org gi-redirect ngadto sa laing server (matrixnotorg.github.io) pinaagi sa pag-usab sa mga parameter sa DNS, gamit ang yawe sa Cloudflare content delivery system API nga nasakpan atol sa unang pag-atake. Kung gitukod pag-usab ang mga sulud sa mga server pagkahuman sa una nga pag-hack, ang mga tagdumala sa Matrix nag-update lamang sa bag-ong mga personal nga yawe ug gimingaw ang pag-update sa yawe sa Cloudflare.
Atol sa ikaduhang pag-atake, ang mga server sa Matrix nagpabilin nga wala matandog; ang mga pagbag-o limitado lamang sa pag-ilis sa mga adres sa DNS. Kung giusab na sa user ang password pagkahuman sa unang pag-atake, dili na kinahanglan nga usbon kini sa ikaduhang higayon. Apan kung ang password wala pa mabag-o, kini kinahanglan nga i-update sa labing madali, tungod kay ang pag-leak sa database nga adunay password hashes nakumpirma. Ang karon nga plano mao ang pagsugod sa usa ka pinugos nga proseso sa pag-reset sa password sa sunod higayon nga mag log in ka.
Dugang pa sa pagtulo sa mga password, gipamatud-an usab nga ang mga yawe sa GPG nga gigamit sa pagmugna og mga digital nga pirma para sa mga pakete sa Debian Synapse repository ug ang Riot/Web release nahulog sa mga kamot sa mga tig-atake. Ang mga yawe gipanalipdan sa password. Ang mga yawe gibawi na niining panahona. Ang mga yawe na-intercept niadtong Abril 4, sukad niadto walay Synapse updates nga gipagawas, apan ang Riot/Web client 1.0.7 gipagawas (usa ka pasiuna nga pagsusi nagpakita nga kini wala makompromiso).
Ang tig-atake nag-post og sunod-sunod nga mga taho sa GitHub nga adunay mga detalye sa pag-atake ug mga tip alang sa pagdugang sa proteksyon, apan kini gitangtang. Bisan pa, ang gi-archive nga mga taho .
Pananglitan, ang tig-atake nagtaho nga ang mga developer sa Matrix kinahanglan two-factor authentication o labing menos dili paggamit sa SSH agent redirection (βForwardAgent yesβ), unya ang pagsulod ngadto sa imprastraktura mababagan. Ang pag-uswag sa pag-atake mahimo usab nga mahunong pinaagi sa paghatag sa mga developers lamang sa gikinahanglan nga mga pribilehiyo, kay sa sa tanan nga mga server.
Dugang pa, gisaway ang praktis sa pagtipig sa mga yawe alang sa paghimo og mga digital nga pirma sa mga server sa produksiyon; usa ka bulag nga nahilit nga host kinahanglan nga igahin alang sa ingon nga mga katuyoan. Nag-atake pa , nga kung ang mga developer sa Matrix kanunay nga nag-awdit sa mga troso ug nag-analisar sa mga anomaliya, namatikdan unta nila ang mga pagsubay sa usa ka hack sayo pa (ang CI hack wala mamatikdi sulod sa usa ka bulan). Laing problema pagtipig sa tanan nga mga file sa pag-configure sa Git, nga nagpaposible sa pagtimbang-timbang sa mga setting sa ubang mga host kung ang usa niini gi-hack. Pag-access pinaagi sa SSH sa mga server sa imprastraktura limitado sa usa ka luwas nga internal nga network, nga nagpaposible sa pagkonektar kanila gikan sa bisan unsang eksternal nga adres.
Source: opennet.ru
[:]