neue über das Hacken der Infrastruktur der dezentralen Messaging-Plattform Matrix, darüber am Morgen. Die problematische Verbindung, über die die Angreifer eindrangen, war das kontinuierliche Integrationssystem Jenkins, das am 13. März gehackt wurde. Dann wurde auf dem Jenkins-Server die von einem SSH-Agenten umgeleitete Anmeldung eines der Administratoren abgefangen, und am 4. April verschafften sich die Angreifer Zugriff auf andere Infrastrukturserver.
Während des zweiten Angriffs wurde die Website „matrix.org“ auf einen anderen Server (matrixnotorg.github.io) umgeleitet, indem die DNS-Parameter geändert wurden. Dabei wurde der Schlüssel für die Cloudflare Content Delivery System-API verwendet, die beim ersten Angriff abgefangen wurde. Beim Wiederherstellen der Serverinhalte nach dem ersten Hack aktualisierten die Matrix-Administratoren nur neue persönliche Schlüssel und verpassten die Aktualisierung des Schlüssels für Cloudflare.
Beim zweiten Angriff blieben die Matrix-Server unangetastet; die Änderungen beschränkten sich lediglich auf den Austausch von Adressen im DNS. Wenn der Benutzer das Passwort bereits nach dem ersten Angriff geändert hat, ist eine zweite Änderung nicht erforderlich. Wenn das Passwort jedoch noch nicht geändert wurde, muss es so schnell wie möglich aktualisiert werden, da das Leck der Datenbank mit Passwort-Hashes bestätigt wurde. Der aktuelle Plan besteht darin, bei der nächsten Anmeldung einen erzwungenen Passwort-Reset-Vorgang einzuleiten.
Zusätzlich zum Durchsickern von Passwörtern wurde auch bestätigt, dass GPG-Schlüssel, die zur Generierung digitaler Signaturen für Pakete im Debian-Synapse-Repository und Riot/Web-Releases verwendet werden, in die Hände der Angreifer geraten sind. Die Schlüssel waren passwortgeschützt. Die Schlüssel wurden zu diesem Zeitpunkt bereits widerrufen. Die Schlüssel wurden am 4. April abgefangen, seitdem wurden keine Synapse-Updates veröffentlicht, aber der Riot/Web-Client 1.0.7 wurde veröffentlicht (eine vorläufige Überprüfung ergab, dass er nicht kompromittiert war).
Der Angreifer veröffentlichte auf GitHub eine Reihe von Berichten mit Details zum Angriff und Tipps zur Erhöhung des Schutzes, die jedoch gelöscht wurden. Allerdings sind die archivierten Berichte .
Beispielsweise berichtete der Angreifer, dass die Matrix-Entwickler dies tun sollten B. eine Zwei-Faktor-Authentifizierung oder zumindest keine SSH-Agentenumleitung („ForwardAgent ja“), dann wäre das Eindringen in die Infrastruktur blockiert. Die Eskalation des Angriffs könnte auch dadurch gestoppt werden, dass den Entwicklern nur die notwendigen Privilegien gewährt werden, anstatt auf allen Servern.
Darüber hinaus wurde die Praxis kritisiert, Schlüssel zur Erstellung digitaler Signaturen auf Produktionsservern zu speichern; hierfür sollte ein separater isolierter Host bereitgestellt werden. Immer noch angreifend , dass die Matrix-Entwickler, wenn sie die Protokolle regelmäßig überprüft und Anomalien analysiert hätten, frühzeitig Spuren eines Hacks bemerkt hätten (der CI-Hack blieb einen Monat lang unentdeckt). Ein weiteres Problem Speicherung aller Konfigurationsdateien in Git, was es ermöglichte, die Einstellungen anderer Hosts auszuwerten, falls einer von ihnen gehackt wurde. Zugriff über SSH auf Infrastrukturserver auf ein sicheres internes Netzwerk beschränkt, das es ermöglichte, von jeder externen Adresse aus eine Verbindung zu ihnen herzustellen.
Quelleopennet.ru
[: En]neue über das Hacken der Infrastruktur der dezentralen Messaging-Plattform Matrix, darüber am Morgen. Die problematische Verbindung, über die die Angreifer eindrangen, war das kontinuierliche Integrationssystem Jenkins, das am 13. März gehackt wurde. Dann wurde auf dem Jenkins-Server die von einem SSH-Agenten umgeleitete Anmeldung eines der Administratoren abgefangen, und am 4. April verschafften sich die Angreifer Zugriff auf andere Infrastrukturserver.
Während des zweiten Angriffs wurde die Website „matrix.org“ auf einen anderen Server (matrixnotorg.github.io) umgeleitet, indem die DNS-Parameter geändert wurden. Dabei wurde der Schlüssel für die Cloudflare Content Delivery System-API verwendet, die beim ersten Angriff abgefangen wurde. Beim Wiederherstellen der Serverinhalte nach dem ersten Hack aktualisierten die Matrix-Administratoren nur neue persönliche Schlüssel und verpassten die Aktualisierung des Schlüssels für Cloudflare.
Beim zweiten Angriff blieben die Matrix-Server unangetastet; die Änderungen beschränkten sich lediglich auf den Austausch von Adressen im DNS. Wenn der Benutzer das Passwort bereits nach dem ersten Angriff geändert hat, ist eine zweite Änderung nicht erforderlich. Wenn das Passwort jedoch noch nicht geändert wurde, muss es so schnell wie möglich aktualisiert werden, da das Leck der Datenbank mit Passwort-Hashes bestätigt wurde. Der aktuelle Plan besteht darin, bei der nächsten Anmeldung einen erzwungenen Passwort-Reset-Vorgang einzuleiten.
Zusätzlich zum Durchsickern von Passwörtern wurde auch bestätigt, dass GPG-Schlüssel, die zur Generierung digitaler Signaturen für Pakete im Debian-Synapse-Repository und Riot/Web-Releases verwendet werden, in die Hände der Angreifer geraten sind. Die Schlüssel waren passwortgeschützt. Die Schlüssel wurden zu diesem Zeitpunkt bereits widerrufen. Die Schlüssel wurden am 4. April abgefangen, seitdem wurden keine Synapse-Updates veröffentlicht, aber der Riot/Web-Client 1.0.7 wurde veröffentlicht (eine vorläufige Überprüfung ergab, dass er nicht kompromittiert war).
Der Angreifer veröffentlichte auf GitHub eine Reihe von Berichten mit Details zum Angriff und Tipps zur Erhöhung des Schutzes, die jedoch gelöscht wurden. Allerdings sind die archivierten Berichte .
Beispielsweise berichtete der Angreifer, dass die Matrix-Entwickler dies tun sollten B. eine Zwei-Faktor-Authentifizierung oder zumindest keine SSH-Agentenumleitung („ForwardAgent ja“), dann wäre das Eindringen in die Infrastruktur blockiert. Die Eskalation des Angriffs könnte auch dadurch gestoppt werden, dass den Entwicklern nur die notwendigen Privilegien gewährt werden, anstatt auf allen Servern.
Darüber hinaus wurde die Praxis kritisiert, Schlüssel zur Erstellung digitaler Signaturen auf Produktionsservern zu speichern; hierfür sollte ein separater isolierter Host bereitgestellt werden. Immer noch angreifend , dass die Matrix-Entwickler, wenn sie die Protokolle regelmäßig überprüft und Anomalien analysiert hätten, frühzeitig Spuren eines Hacks bemerkt hätten (der CI-Hack blieb einen Monat lang unentdeckt). Ein weiteres Problem Speicherung aller Konfigurationsdateien in Git, was es ermöglichte, die Einstellungen anderer Hosts auszuwerten, falls einer von ihnen gehackt wurde. Zugriff über SSH auf Infrastrukturserver auf ein sicheres internes Netzwerk beschränkt, das es ermöglichte, von jeder externen Adresse aus eine Verbindung zu ihnen herzustellen.
Source: opennet.ru
[:]