Π½ΠΎΠ²ΡΠ΅ am hacio seilwaith y platfform negeseuon datganoledig Matrix, am ba un yn y bore. Y cysylltiad problematig y treiddiodd yr ymosodwyr drwyddo oedd system integreiddio barhaus Jenkins, a gafodd ei hacio ar Fawrth 13. Yna, ar weinydd Jenkins, cafodd mewngofnodi un o'r gweinyddwyr, a ailgyfeiriwyd gan asiant SSH, ei ryng-gipio, ac ar Ebrill 4, cafodd yr ymosodwyr fynediad i weinyddion seilwaith eraill.
Yn ystod yr ail ymosodiad, ailgyfeiriwyd gwefan matrix.org i weinydd arall (matrixnotorg.github.io) trwy newid y paramedrau DNS, gan ddefnyddio'r allwedd i system cyflwyno cynnwys Cloudflare API rhyng-gipio yn ystod yr ymosodiad cyntaf. Wrth ailadeiladu cynnwys y gweinyddion ar Γ΄l y darnia cyntaf, dim ond allweddi personol newydd y gwnaeth gweinyddwyr Matrix ddiweddaru a methu diweddaru'r allwedd i Cloudflare.
Yn ystod yr ail ymosodiad, arhosodd gweinyddwyr Matrics heb eu cyffwrdd; roedd newidiadau wedi'u cyfyngu i ailosod cyfeiriadau yn y DNS yn unig. Os yw'r defnyddiwr eisoes wedi newid y cyfrinair ar Γ΄l yr ymosodiad cyntaf, nid oes angen ei newid yr eildro. Ond os nad yw'r cyfrinair wedi'i newid eto, mae angen ei ddiweddaru cyn gynted Γ’ phosibl, gan fod gollyngiad y gronfa ddata gyda hashes cyfrinair wedi'i gadarnhau. Y cynllun presennol yw cychwyn proses gorfodi ailosod cyfrinair y tro nesaf y byddwch yn mewngofnodi.
Yn ogystal Γ’ gollwng cyfrineiriau, cadarnhawyd hefyd bod allweddi GPG a ddefnyddir i gynhyrchu llofnodion digidol ar gyfer pecynnau yn ystorfa Debian Synapse a datganiadau Riot / Web wedi disgyn i ddwylo'r ymosodwyr. Roedd yr allweddi wedi'u diogelu gan gyfrinair. Mae'r allweddi eisoes wedi'u dirymu ar hyn o bryd. Cafodd yr allweddi eu rhyng-gipio ar Ebrill 4, ers hynny nid oes unrhyw ddiweddariadau Synapse wedi'u rhyddhau, ond rhyddhawyd cleient Riot / Web 1.0.7 (dangosodd gwiriad rhagarweiniol nad oedd wedi'i gyfaddawdu).
Postiodd yr ymosodwr gyfres o adroddiadau ar GitHub gyda manylion yr ymosodiad ac awgrymiadau ar gyfer cynyddu amddiffyniad, ond cawsant eu dileu. Fodd bynnag, mae'r adroddiadau archif .
Er enghraifft, adroddodd yr ymosodwr y dylai'r datblygwyr Matrics dilysu dau ffactor neu o leiaf peidio Γ’ defnyddio ailgyfeirio asiant SSH (βForwardAgent ieβ), yna byddai treiddiad i'r seilwaith yn cael ei rwystro. Gellid atal yr ymosodiad rhag gwaethygu hefyd trwy roi'r breintiau angenrheidiol yn unig i ddatblygwyr, yn hytrach na ar bob gweinydd.
Yn ogystal, beirniadwyd yr arfer o storio allweddi ar gyfer creu llofnodion digidol ar weinyddion cynhyrchu; dylid dyrannu gwesteiwr unigol ar wahΓ’n at ddibenion o'r fath. Dal i ymosod , pe bai datblygwyr Matrix wedi archwilio logiau'n rheolaidd ac wedi dadansoddi anghysondebau, byddent wedi sylwi ar olion darnia yn gynnar (ni chafodd y darnia CI ei ganfod am fis). Problem arall storio'r holl ffeiliau ffurfweddu yn Git, a oedd yn ei gwneud hi'n bosibl gwerthuso gosodiadau gwesteiwyr eraill pe bai un ohonynt yn cael ei hacio. Mynediad trwy SSH i weinyddion seilwaith gyfyngedig i rwydwaith mewnol diogel, a oedd yn ei gwneud hi'n bosibl cysylltu Γ’ nhw o unrhyw gyfeiriad allanol.
Ffynhonnellopennet.ru
[: cy]Π½ΠΎΠ²ΡΠ΅ am hacio seilwaith y platfform negeseuon datganoledig Matrix, am ba un yn y bore. Y cysylltiad problematig y treiddiodd yr ymosodwyr drwyddo oedd system integreiddio barhaus Jenkins, a gafodd ei hacio ar Fawrth 13. Yna, ar weinydd Jenkins, cafodd mewngofnodi un o'r gweinyddwyr, a ailgyfeiriwyd gan asiant SSH, ei ryng-gipio, ac ar Ebrill 4, cafodd yr ymosodwyr fynediad i weinyddion seilwaith eraill.
Yn ystod yr ail ymosodiad, ailgyfeiriwyd gwefan matrix.org i weinydd arall (matrixnotorg.github.io) trwy newid y paramedrau DNS, gan ddefnyddio'r allwedd i system cyflwyno cynnwys Cloudflare API rhyng-gipio yn ystod yr ymosodiad cyntaf. Wrth ailadeiladu cynnwys y gweinyddion ar Γ΄l y darnia cyntaf, dim ond allweddi personol newydd y gwnaeth gweinyddwyr Matrix ddiweddaru a methu diweddaru'r allwedd i Cloudflare.
Yn ystod yr ail ymosodiad, arhosodd gweinyddwyr Matrics heb eu cyffwrdd; roedd newidiadau wedi'u cyfyngu i ailosod cyfeiriadau yn y DNS yn unig. Os yw'r defnyddiwr eisoes wedi newid y cyfrinair ar Γ΄l yr ymosodiad cyntaf, nid oes angen ei newid yr eildro. Ond os nad yw'r cyfrinair wedi'i newid eto, mae angen ei ddiweddaru cyn gynted Γ’ phosibl, gan fod gollyngiad y gronfa ddata gyda hashes cyfrinair wedi'i gadarnhau. Y cynllun presennol yw cychwyn proses gorfodi ailosod cyfrinair y tro nesaf y byddwch yn mewngofnodi.
Yn ogystal Γ’ gollwng cyfrineiriau, cadarnhawyd hefyd bod allweddi GPG a ddefnyddir i gynhyrchu llofnodion digidol ar gyfer pecynnau yn ystorfa Debian Synapse a datganiadau Riot / Web wedi disgyn i ddwylo'r ymosodwyr. Roedd yr allweddi wedi'u diogelu gan gyfrinair. Mae'r allweddi eisoes wedi'u dirymu ar hyn o bryd. Cafodd yr allweddi eu rhyng-gipio ar Ebrill 4, ers hynny nid oes unrhyw ddiweddariadau Synapse wedi'u rhyddhau, ond rhyddhawyd cleient Riot / Web 1.0.7 (dangosodd gwiriad rhagarweiniol nad oedd wedi'i gyfaddawdu).
Postiodd yr ymosodwr gyfres o adroddiadau ar GitHub gyda manylion yr ymosodiad ac awgrymiadau ar gyfer cynyddu amddiffyniad, ond cawsant eu dileu. Fodd bynnag, mae'r adroddiadau archif .
Er enghraifft, adroddodd yr ymosodwr y dylai'r datblygwyr Matrics dilysu dau ffactor neu o leiaf peidio Γ’ defnyddio ailgyfeirio asiant SSH (βForwardAgent ieβ), yna byddai treiddiad i'r seilwaith yn cael ei rwystro. Gellid atal yr ymosodiad rhag gwaethygu hefyd trwy roi'r breintiau angenrheidiol yn unig i ddatblygwyr, yn hytrach na ar bob gweinydd.
Yn ogystal, beirniadwyd yr arfer o storio allweddi ar gyfer creu llofnodion digidol ar weinyddion cynhyrchu; dylid dyrannu gwesteiwr unigol ar wahΓ’n at ddibenion o'r fath. Dal i ymosod , pe bai datblygwyr Matrix wedi archwilio logiau'n rheolaidd ac wedi dadansoddi anghysondebau, byddent wedi sylwi ar olion darnia yn gynnar (ni chafodd y darnia CI ei ganfod am fis). Problem arall storio'r holl ffeiliau ffurfweddu yn Git, a oedd yn ei gwneud hi'n bosibl gwerthuso gosodiadau gwesteiwyr eraill pe bai un ohonynt yn cael ei hacio. Mynediad trwy SSH i weinyddion seilwaith gyfyngedig i rwydwaith mewnol diogel, a oedd yn ei gwneud hi'n bosibl cysylltu Γ’ nhw o unrhyw gyfeiriad allanol.
Ffynhonnell: opennet.ru
[:]