новые om hackingen af infrastrukturen i den decentraliserede meddelelsesplatform Matrix, om hvilke om morgenen. Det problematiske link, som angriberne trængte igennem, var Jenkins kontinuerlige integrationssystem, som blev hacket den 13. marts. Derefter, på Jenkins-serveren, blev login på en af administratorerne, omdirigeret af en SSH-agent, opsnappet, og den 4. april fik angriberne adgang til andre infrastrukturservere.
Under det andet angreb blev matrix.org-webstedet omdirigeret til en anden server (matrixnotorg.github.io) ved at ændre DNS-parametrene ved at bruge nøglen til Cloudflare-indholdsleveringssystemets API, der blev opsnappet under det første angreb. Ved genopbygning af indholdet af serverne efter det første hack, opdaterede Matrix-administratorer kun nye personlige nøgler og savnede at opdatere nøglen til Cloudflare.
Under det andet angreb forblev Matrix-serverne uberørte; ændringer var kun begrænset til at erstatte adresser i DNS. Hvis brugeren allerede har ændret adgangskoden efter det første angreb, er det ikke nødvendigt at ændre det en anden gang. Men hvis adgangskoden endnu ikke er blevet ændret, skal den opdateres så hurtigt som muligt, da lækagen af databasen med kodeords-hash er blevet bekræftet. Den nuværende plan er at starte en tvungen nulstilling af adgangskode, næste gang du logger på.
Ud over lækagen af adgangskoder er det også blevet bekræftet, at GPG-nøgler, der bruges til at generere digitale signaturer til pakker i Debian Synapse-lageret, og Riot/Web-udgivelser er faldet i hænderne på angriberne. Nøglerne var beskyttet med adgangskode. Nøglerne er allerede tilbagekaldt på nuværende tidspunkt. Nøglerne blev opsnappet den 4. april, siden da er ingen Synapse-opdateringer blevet frigivet, men Riot/Web-klienten 1.0.7 blev frigivet (en foreløbig kontrol viste, at den ikke var kompromitteret).
Angriberen postede en række rapporter på GitHub med detaljer om angrebet og tips til at øge beskyttelsen, men de blev slettet. De arkiverede rapporter dog .
For eksempel rapporterede angriberen, at Matrix-udviklerne burde to-faktor-godkendelse eller i det mindste ikke at bruge SSH-agent-omdirigering ("ForwardAgent ja"), så ville penetration i infrastrukturen blive blokeret. Eskaleringen af angrebet kunne også stoppes ved kun at give udviklere de nødvendige privilegier, i stedet for på alle servere.
Derudover blev praksis med at gemme nøgler til oprettelse af digitale signaturer på produktionsservere kritiseret; en separat isoleret vært bør allokeres til sådanne formål. Angriber stadig , at hvis Matrix-udviklere regelmæssigt havde revideret logfiler og analyseret uregelmæssigheder, ville de tidligt have bemærket spor af et hack (CI-hakket forblev uopdaget i en måned). Et andet problem lagring af alle konfigurationsfiler i Git, hvilket gjorde det muligt at evaluere indstillingerne for andre værter, hvis en af dem blev hacket. Adgang via SSH til infrastrukturservere begrænset til et sikkert internt netværk, som gjorde det muligt at oprette forbindelse til dem fra enhver ekstern adresse.
Kildeopennet.ru
[En]новые om hackingen af infrastrukturen i den decentraliserede meddelelsesplatform Matrix, om hvilke om morgenen. Det problematiske link, som angriberne trængte igennem, var Jenkins kontinuerlige integrationssystem, som blev hacket den 13. marts. Derefter, på Jenkins-serveren, blev login på en af administratorerne, omdirigeret af en SSH-agent, opsnappet, og den 4. april fik angriberne adgang til andre infrastrukturservere.
Under det andet angreb blev matrix.org-webstedet omdirigeret til en anden server (matrixnotorg.github.io) ved at ændre DNS-parametrene ved at bruge nøglen til Cloudflare-indholdsleveringssystemets API, der blev opsnappet under det første angreb. Ved genopbygning af indholdet af serverne efter det første hack, opdaterede Matrix-administratorer kun nye personlige nøgler og savnede at opdatere nøglen til Cloudflare.
Under det andet angreb forblev Matrix-serverne uberørte; ændringer var kun begrænset til at erstatte adresser i DNS. Hvis brugeren allerede har ændret adgangskoden efter det første angreb, er det ikke nødvendigt at ændre det en anden gang. Men hvis adgangskoden endnu ikke er blevet ændret, skal den opdateres så hurtigt som muligt, da lækagen af databasen med kodeords-hash er blevet bekræftet. Den nuværende plan er at starte en tvungen nulstilling af adgangskode, næste gang du logger på.
Ud over lækagen af adgangskoder er det også blevet bekræftet, at GPG-nøgler, der bruges til at generere digitale signaturer til pakker i Debian Synapse-lageret, og Riot/Web-udgivelser er faldet i hænderne på angriberne. Nøglerne var beskyttet med adgangskode. Nøglerne er allerede tilbagekaldt på nuværende tidspunkt. Nøglerne blev opsnappet den 4. april, siden da er ingen Synapse-opdateringer blevet frigivet, men Riot/Web-klienten 1.0.7 blev frigivet (en foreløbig kontrol viste, at den ikke var kompromitteret).
Angriberen postede en række rapporter på GitHub med detaljer om angrebet og tips til at øge beskyttelsen, men de blev slettet. De arkiverede rapporter dog .
For eksempel rapporterede angriberen, at Matrix-udviklerne burde to-faktor-godkendelse eller i det mindste ikke at bruge SSH-agent-omdirigering ("ForwardAgent ja"), så ville penetration i infrastrukturen blive blokeret. Eskaleringen af angrebet kunne også stoppes ved kun at give udviklere de nødvendige privilegier, i stedet for på alle servere.
Derudover blev praksis med at gemme nøgler til oprettelse af digitale signaturer på produktionsservere kritiseret; en separat isoleret vært bør allokeres til sådanne formål. Angriber stadig , at hvis Matrix-udviklere regelmæssigt havde revideret logfiler og analyseret uregelmæssigheder, ville de tidligt have bemærket spor af et hack (CI-hakket forblev uopdaget i en måned). Et andet problem lagring af alle konfigurationsfiler i Git, hvilket gjorde det muligt at evaluere indstillingerne for andre værter, hvis en af dem blev hacket. Adgang via SSH til infrastrukturservere begrænset til et sikkert internt netværk, som gjorde det muligt at oprette forbindelse til dem fra enhver ekstern adresse.
Kilde: opennet.ru
[:]