новые nantu à u pirate di l'infrastruttura di a piattaforma di messageria decentralizata Matrix, nantu à quale in a maitinata. U ligame problematicu attraversu quale l'attaccanti penetravanu era u sistema di integrazione cuntinuu di Jenkins, chì hè statu piratatu u 13 di marzu. Allora, nantu à u servitore Jenkins, u login di unu di l'amministratori, rediretti da un agentu SSH, hè stata interceptata, è u 4 d'aprile, l'attaccanti anu accessu à altri servitori di l'infrastruttura.
Duranti u sicondu attaccu, u situ web matrix.org hè stata rediretta à un altru servitore (matrixnotorg.github.io) cambiendu i paràmetri DNS, utilizendu a chjave per l'API di u sistema di spedizione di cuntenutu Cloudflare interceptatu durante u primu attaccu. Quandu ricustruisce u cuntenutu di i servitori dopu à u primu pirate, l'amministratori di Matrix anu aghjurnatu solu e novi chjavi persunali è mancavanu l'aghjurnamentu di a chjave per Cloudflare.
Duranti u sicondu attaccu, i servitori Matrix restanu intatti; i cambiamenti sò stati limitati solu à rimpiazzà l'indirizzi in u DNS. Se l'utilizatore hà digià cambiatu a password dopu à u primu attaccu, ùn ci hè bisognu di cambià a seconda volta. Ma se a password ùn hè micca stata cambiata, deve esse aghjurnata u più prestu pussibule, postu chì una filtrazione di a basa di dati cù password hashes hè stata cunfirmata. U pianu attuale hè di inizià un prucessu di resettore forzatu di password a prossima volta chì accede.
In più di a fuga di password, hè statu ancu cunfirmatu chì e chjavi GPG utilizati per generà signature digitale per i pacchetti in u repository di Debian Synapse è e versioni Riot / Web sò cascati in manu di l'attaccanti. I chjavi eranu protetti da password. I chjavi sò digià stati revocati à questu tempu. I chjavi sò stati interceptati u 4 d'aprile, da tandu ùn sò micca stati liberati l'aghjurnamenti di Synapse, ma u cliente Riot / Web 1.0.7 hè statu liberatu (una verificazione preliminare hà dimustratu chì ùn era micca cumprumissu).
L'attaccu hà publicatu una serie di rapporti in GitHub cù dettagli di l'attaccu è cunsiglii per aumentà a prutezzione, ma sò stati sguassati. Tuttavia, i rapporti archiviati .
Per esempiu, l'attaccante hà dettu chì i sviluppatori di Matrix duveranu l'autentificazione à dui fattori o almenu micca aduprà a redirezzione di l'agente SSH ("ForwardAgent sì"), allora a penetrazione in l'infrastruttura seria bluccata. L'escalation di l'attaccu puderia ancu esse firmatu dandu à i sviluppatori solu i privilegi necessarii, invece nantu à tutti i servitori.
Inoltre, a pratica di almacenà e chjave per a creazione di firme digitali in i servitori di produzzione hè stata criticata; un host isolatu separatu deve esse attribuitu per tali scopi. Attaccà sempre , chì se i sviluppatori di Matrix avianu verificatu regularmente i logs è anu analizatu l'anomali, avarianu nutatu tracce di un pirate prima (u pirate di CI ùn hè micca scuntatu per un mesi). Un altru prublema almacenà tutti i schedarii di cunfigurazione in Git, chì hà permessu di evaluà i paràmetri di l'altri ospiti se unu d'elli hè statu pirate. Accessu via SSH à i servitori di l'infrastruttura limitatu à una rete interna sicura, chì hà permessu di cunnette cù elli da ogni indirizzu esternu.
Sourceopennet.ru
[: fr]новые nantu à u pirate di l'infrastruttura di a piattaforma di messageria decentralizata Matrix, nantu à quale in a maitinata. U ligame problematicu attraversu quale l'attaccanti penetravanu era u sistema di integrazione cuntinuu di Jenkins, chì hè statu piratatu u 13 di marzu. Allora, nantu à u servitore Jenkins, u login di unu di l'amministratori, rediretti da un agentu SSH, hè stata interceptata, è u 4 d'aprile, l'attaccanti anu accessu à altri servitori di l'infrastruttura.
Duranti u sicondu attaccu, u situ web matrix.org hè stata rediretta à un altru servitore (matrixnotorg.github.io) cambiendu i paràmetri DNS, utilizendu a chjave per l'API di u sistema di spedizione di cuntenutu Cloudflare interceptatu durante u primu attaccu. Quandu ricustruisce u cuntenutu di i servitori dopu à u primu pirate, l'amministratori di Matrix anu aghjurnatu solu e novi chjavi persunali è mancavanu l'aghjurnamentu di a chjave per Cloudflare.
Duranti u sicondu attaccu, i servitori Matrix restanu intatti; i cambiamenti sò stati limitati solu à rimpiazzà l'indirizzi in u DNS. Se l'utilizatore hà digià cambiatu a password dopu à u primu attaccu, ùn ci hè bisognu di cambià a seconda volta. Ma se a password ùn hè micca stata cambiata, deve esse aghjurnata u più prestu pussibule, postu chì una filtrazione di a basa di dati cù password hashes hè stata cunfirmata. U pianu attuale hè di inizià un prucessu di resettore forzatu di password a prossima volta chì accede.
In più di a fuga di password, hè statu ancu cunfirmatu chì e chjavi GPG utilizati per generà signature digitale per i pacchetti in u repository di Debian Synapse è e versioni Riot / Web sò cascati in manu di l'attaccanti. I chjavi eranu protetti da password. I chjavi sò digià stati revocati à questu tempu. I chjavi sò stati interceptati u 4 d'aprile, da tandu ùn sò micca stati liberati l'aghjurnamenti di Synapse, ma u cliente Riot / Web 1.0.7 hè statu liberatu (una verificazione preliminare hà dimustratu chì ùn era micca cumprumissu).
L'attaccu hà publicatu una serie di rapporti in GitHub cù dettagli di l'attaccu è cunsiglii per aumentà a prutezzione, ma sò stati sguassati. Tuttavia, i rapporti archiviati .
Per esempiu, l'attaccante hà dettu chì i sviluppatori di Matrix duveranu l'autentificazione à dui fattori o almenu micca aduprà a redirezzione di l'agente SSH ("ForwardAgent sì"), allora a penetrazione in l'infrastruttura seria bluccata. L'escalation di l'attaccu puderia ancu esse firmatu dandu à i sviluppatori solu i privilegi necessarii, invece nantu à tutti i servitori.
Inoltre, a pratica di almacenà e chjave per a creazione di firme digitali in i servitori di produzzione hè stata criticata; un host isolatu separatu deve esse attribuitu per tali scopi. Attaccà sempre , chì se i sviluppatori di Matrix avianu verificatu regularmente i logs è anu analizatu l'anomali, avarianu nutatu tracce di un pirate prima (u pirate di CI ùn hè micca scuntatu per un mesi). Un altru prublema almacenà tutti i schedarii di cunfigurazione in Git, chì hà permessu di evaluà i paràmetri di l'altri ospiti se unu d'elli hè statu pirate. Accessu via SSH à i servitori di l'infrastruttura limitatu à una rete interna sicura, chì hà permessu di cunnette cù elli da ogni indirizzu esternu.
Source: opennet.ru
[:]