новые o hacknutí infrastruktury decentralizované platformy pro zasílání zpráv Matrix, o kterém ráno. Problematickým článkem, přes který útočníci pronikli, byl kontinuální integrační systém Jenkins, který byl hacknut 13. března. Poté bylo na serveru Jenkins zachyceno přihlášení jednoho z administrátorů, přesměrované SSH agentem, a 4. dubna útočníci získali přístup k dalším infrastrukturním serverům.
Během druhého útoku byl web matrix.org přesměrován na jiný server (matrixnotorg.github.io) změnou parametrů DNS pomocí klíče k API systému pro doručování obsahu Cloudflare zachyceného během prvního útoku. Při přestavbě obsahu serverů po prvním hacku správci Matrix aktualizovali pouze nové osobní klíče a zmeškali aktualizaci klíče do Cloudflare.
Během druhého útoku zůstaly servery Matrix nedotčeny, změny byly omezeny pouze na nahrazení adres v DNS. Pokud si uživatel heslo změnil již po prvním útoku, není třeba jej měnit podruhé. Pokud však heslo ještě nebylo změněno, je třeba jej co nejdříve aktualizovat, protože byl potvrzen únik databáze s hashemi hesel. Současným plánem je zahájit proces nuceného resetování hesla při příštím přihlášení.
Kromě úniku hesel se také potvrdilo, že se útočníkům dostaly do rukou GPG klíče používané ke generování digitálních podpisů pro balíčky v úložišti Debian Synapse a vydání Riot/Web. Klíče byly chráněny heslem. Klíče již byly v tuto chvíli odvolány. Klíče byly zachyceny 4. dubna, od té doby nebyly vydány žádné aktualizace Synapse, ale byl vydán Riot/Web klient 1.0.7 (předběžná kontrola ukázala, že nebyl kompromitován).
Útočník zveřejnil na GitHubu sérii zpráv s podrobnostmi o útoku a tipy na zvýšení ochrany, které však byly smazány. Nicméně, archivované zprávy .
Útočník například hlásil, že by vývojáři Matrixu měli dvoufaktorová autentizace nebo alespoň nepoužívání přesměrování agenta SSH („ForwardAgent ano“), pak by bylo zablokováno pronikání do infrastruktury. Eskalace útoku by také mohla být zastavena tím, že by vývojáři měli pouze nezbytná oprávnění na všech serverech.
Navíc byla kritizována praxe ukládání klíčů pro vytváření digitálních podpisů na produkčních serverech; pro tyto účely by měl být přidělen samostatný izolovaný hostitel. Stále útočí , že kdyby vývojáři Matrixu pravidelně kontrolovali protokoly a analyzovali anomálie, všimli by si stop po hacku již brzy (hacknutí CI bylo měsíc nezjištěno). Další problém uložení všech konfiguračních souborů v Gitu, což umožnilo vyhodnotit nastavení ostatních hostitelů, pokud byl některý z nich hacknut. Přístup přes SSH k infrastrukturním serverům omezena na zabezpečenou vnitřní síť, která umožňovala připojit se k nim z libovolné externí adresy.
Zdrojopennet.ru
[En]новые o hacknutí infrastruktury decentralizované platformy pro zasílání zpráv Matrix, o kterém ráno. Problematickým článkem, přes který útočníci pronikli, byl kontinuální integrační systém Jenkins, který byl hacknut 13. března. Poté bylo na serveru Jenkins zachyceno přihlášení jednoho z administrátorů, přesměrované SSH agentem, a 4. dubna útočníci získali přístup k dalším infrastrukturním serverům.
Během druhého útoku byl web matrix.org přesměrován na jiný server (matrixnotorg.github.io) změnou parametrů DNS pomocí klíče k API systému pro doručování obsahu Cloudflare zachyceného během prvního útoku. Při přestavbě obsahu serverů po prvním hacku správci Matrix aktualizovali pouze nové osobní klíče a zmeškali aktualizaci klíče do Cloudflare.
Během druhého útoku zůstaly servery Matrix nedotčeny, změny byly omezeny pouze na nahrazení adres v DNS. Pokud si uživatel heslo změnil již po prvním útoku, není třeba jej měnit podruhé. Pokud však heslo ještě nebylo změněno, je třeba jej co nejdříve aktualizovat, protože byl potvrzen únik databáze s hashemi hesel. Současným plánem je zahájit proces nuceného resetování hesla při příštím přihlášení.
Kromě úniku hesel se také potvrdilo, že se útočníkům dostaly do rukou GPG klíče používané ke generování digitálních podpisů pro balíčky v úložišti Debian Synapse a vydání Riot/Web. Klíče byly chráněny heslem. Klíče již byly v tuto chvíli odvolány. Klíče byly zachyceny 4. dubna, od té doby nebyly vydány žádné aktualizace Synapse, ale byl vydán Riot/Web klient 1.0.7 (předběžná kontrola ukázala, že nebyl kompromitován).
Útočník zveřejnil na GitHubu sérii zpráv s podrobnostmi o útoku a tipy na zvýšení ochrany, které však byly smazány. Nicméně, archivované zprávy .
Útočník například hlásil, že by vývojáři Matrixu měli dvoufaktorová autentizace nebo alespoň nepoužívání přesměrování agenta SSH („ForwardAgent ano“), pak by bylo zablokováno pronikání do infrastruktury. Eskalace útoku by také mohla být zastavena tím, že by vývojáři měli pouze nezbytná oprávnění na všech serverech.
Navíc byla kritizována praxe ukládání klíčů pro vytváření digitálních podpisů na produkčních serverech; pro tyto účely by měl být přidělen samostatný izolovaný hostitel. Stále útočí , že kdyby vývojáři Matrixu pravidelně kontrolovali protokoly a analyzovali anomálie, všimli by si stop po hacku již brzy (hacknutí CI bylo měsíc nezjištěno). Další problém uložení všech konfiguračních souborů v Gitu, což umožnilo vyhodnotit nastavení ostatních hostitelů, pokud byl některý z nich hacknut. Přístup přes SSH k infrastrukturním serverům omezena na zabezpečenou vnitřní síť, která umožňovala připojit se k nim z libovolné externí adresy.
Zdroj: opennet.ru
[:]