Es wurden neue Einzelheiten über den Hack der Infrastruktur der dezentralen Messaging-Plattform Matrix veröffentlicht, über den heute Morgen berichtet wurde. Der Schwachpunkt, durch den die Angreifer eindringen konnten, war das Continuous Integration-System Jenkins, das bereits am 13. März gehackt wurde. Auf dem Jenkins-Server wurde dann der SSH-Zugriff eines der Administratoren abgefangen, wodurch die Angreifer am 4. April Zugriff auf andere Server der Infrastruktur erhielten.
Beim zweiten Angriff wurde die Website matrix.org auf einen anderen Server (matrixnotorg.github.io) umgeleitet, indem die DNS-Einstellungen geändert wurden. Dies geschah mit einem bei dem ersten Angriff abgefangenen API-Schlüssel des Content Delivery Networks Cloudflare. Bei der Neuerstellung des Inhalts Server nach dem ersten Hack aktualisierten die Administratoren von Matrix nur die neuen persönlichen Schlüssel und versäumten es, den Schlüssel für Cloudflare zu aktualisieren.
Bei dem zweiten Angriff blieben die Server von Matrix unberührt, die Änderungen beschränkten sich lediglich auf die Anpassung der DNS-Adressen. Falls der Nutzer sein Passwort bereits nach dem ersten Angriff geändert hat, ist eine zweite Änderung nicht notwendig. Sollte das Passwort jedoch noch nicht geändert worden sein, muss es so schnell wie möglich aktualisiert werden, da ein Leck der Datenbank mit Passwort-Hashes bestätigt wurde. Derzeit wird geplant, den Prozess für einen erzwungenen Passwortreset beim nächsten Login zu initiieren.
Neben dem Passwortleck wurde auch die Kompromittierung von GPG-Schlüsseln bestätigt, die zur Erstellung von digitalen Signaturen für Pakete im Debian-Repository von Synapse und für die Veröffentlichungen von Riot/Web verwendet werden. Die Schlüssel waren mit einem Passwort geschützt. Derzeit wurden die Schlüssel bereits zurückgerufen. Die Schlüssel wurden am 4. April abgefangen, seitdem gab es jedoch keine Updates für Synapse, allerdings wurde der Client Riot/Web 1.0.7 veröffentlicht (eine vorläufige Prüfung ergab, dass er nicht kompromittiert war).
Der Angreifer veröffentlichte eine Reihe von Berichten mit Einzelheiten zum Angriff auf GitHub, diese wurden jedoch gelöscht. Dennoch sind die Berichte im Archiv gespeichert geblieben.
Quelle: opennet.ru
