новые σχετικά με το χακάρισμα της υποδομής της αποκεντρωμένης πλατφόρμας ανταλλαγής μηνυμάτων Matrix, για την οποία το πρωί. Ο προβληματικός σύνδεσμος μέσω του οποίου διείσδυσαν οι επιτιθέμενοι ήταν το σύστημα συνεχούς ολοκλήρωσης Jenkins, το οποίο παραβιάστηκε στις 13 Μαρτίου. Στη συνέχεια, στον διακομιστή Jenkins, η σύνδεση ενός από τους διαχειριστές, που ανακατευθύνθηκε από έναν πράκτορα SSH, παρεμποδίστηκε και στις 4 Απριλίου, οι εισβολείς απέκτησαν πρόσβαση σε άλλους διακομιστές υποδομής.
Κατά τη δεύτερη επίθεση, ο ιστότοπος matrix.org ανακατευθύνθηκε σε άλλο διακομιστή (matrixnotorg.github.io) αλλάζοντας τις παραμέτρους DNS, χρησιμοποιώντας το κλειδί στο API του συστήματος παράδοσης περιεχομένου Cloudflare που υποκλαπεί κατά την πρώτη επίθεση. Κατά την ανακατασκευή των περιεχομένων των διακομιστών μετά το πρώτο hack, οι διαχειριστές του Matrix ενημέρωσαν μόνο τα νέα προσωπικά κλειδιά και παρέλειψαν να ενημερώσουν το κλειδί στο Cloudflare.
Κατά τη δεύτερη επίθεση, οι διακομιστές Matrix παρέμειναν ανέγγιχτοι· οι αλλαγές περιορίστηκαν μόνο στην αντικατάσταση διευθύνσεων στο DNS. Εάν ο χρήστης έχει ήδη αλλάξει τον κωδικό πρόσβασης μετά την πρώτη επίθεση, δεν χρειάζεται να τον αλλάξει δεύτερη φορά. Αλλά εάν ο κωδικός πρόσβασης δεν έχει αλλάξει ακόμη, πρέπει να ενημερωθεί το συντομότερο δυνατό, καθώς επιβεβαιώθηκε η διαρροή της βάσης δεδομένων με κατακερματισμούς κωδικών πρόσβασης. Το τρέχον σχέδιο είναι να ξεκινήσει μια διαδικασία αναγκαστικής επαναφοράς κωδικού πρόσβασης την επόμενη φορά που θα συνδεθείτε.
Εκτός από τη διαρροή κωδικών πρόσβασης, επιβεβαιώθηκε επίσης ότι τα κλειδιά GPG που χρησιμοποιούνται για τη δημιουργία ψηφιακών υπογραφών για πακέτα στο αποθετήριο Debian Synapse και τις εκδόσεις Riot/Web έχουν περιέλθει στα χέρια των εισβολέων. Τα κλειδιά προστατεύονταν με κωδικό πρόσβασης. Τα κλειδιά έχουν ήδη ανακληθεί αυτή τη στιγμή. Τα κλειδιά κατασχέθηκαν στις 4 Απριλίου, από τότε δεν έχουν κυκλοφορήσει ενημερώσεις του Synapse, αλλά κυκλοφόρησε το Riot/Web client 1.0.7 (ένας προκαταρκτικός έλεγχος έδειξε ότι δεν είχε παραβιαστεί).
Ο εισβολέας δημοσίευσε μια σειρά από αναφορές στο GitHub με λεπτομέρειες της επίθεσης και συμβουλές για αυξημένη προστασία, αλλά αυτές διαγράφηκαν. Ωστόσο, οι αρχειοθετημένες αναφορές .
Για παράδειγμα, ο εισβολέας ανέφερε ότι οι προγραμματιστές του Matrix θα έπρεπε έλεγχος ταυτότητας δύο παραγόντων ή τουλάχιστον μη χρήση ανακατεύθυνσης παράγοντα SSH ("ForwardAgent ναι"), τότε η διείσδυση στην υποδομή θα αποκλειστεί. Η κλιμάκωση της επίθεσης θα μπορούσε επίσης να σταματήσει δίνοντας στους προγραμματιστές μόνο τα απαραίτητα προνόμια, αντί σε όλους τους διακομιστές.
Επιπλέον, επικρίθηκε η πρακτική της αποθήκευσης κλειδιών για τη δημιουργία ψηφιακών υπογραφών σε διακομιστές παραγωγής· για τέτοιους σκοπούς θα πρέπει να εκχωρηθεί ένας ξεχωριστός απομονωμένος κεντρικός υπολογιστής. Ακόμα επιτίθεται , ότι αν οι προγραμματιστές του Matrix είχαν ελέγξει τακτικά τα αρχεία καταγραφής και ανέλυαν ανωμαλίες, θα είχαν παρατηρήσει ίχνη μιας εισβολής από νωρίς (το hack CI παρέμεινε απαρατήρητο για ένα μήνα). Άλλο πρόβλημα αποθήκευση όλων των αρχείων διαμόρφωσης στο Git, το οποίο επέτρεψε την αξιολόγηση των ρυθμίσεων άλλων κεντρικών υπολογιστών εάν κάποιος από αυτούς είχε παραβιαστεί. Πρόσβαση μέσω SSH σε διακομιστές υποδομής περιορίζεται σε ένα ασφαλές εσωτερικό δίκτυο, το οποίο κατέστησε δυνατή τη σύνδεσή τους από οποιαδήποτε εξωτερική διεύθυνση.
Πηγήopennet.ru
[En]новые σχετικά με το χακάρισμα της υποδομής της αποκεντρωμένης πλατφόρμας ανταλλαγής μηνυμάτων Matrix, για την οποία το πρωί. Ο προβληματικός σύνδεσμος μέσω του οποίου διείσδυσαν οι επιτιθέμενοι ήταν το σύστημα συνεχούς ολοκλήρωσης Jenkins, το οποίο παραβιάστηκε στις 13 Μαρτίου. Στη συνέχεια, στον διακομιστή Jenkins, η σύνδεση ενός από τους διαχειριστές, που ανακατευθύνθηκε από έναν πράκτορα SSH, παρεμποδίστηκε και στις 4 Απριλίου, οι εισβολείς απέκτησαν πρόσβαση σε άλλους διακομιστές υποδομής.
Κατά τη δεύτερη επίθεση, ο ιστότοπος matrix.org ανακατευθύνθηκε σε άλλο διακομιστή (matrixnotorg.github.io) αλλάζοντας τις παραμέτρους DNS, χρησιμοποιώντας το κλειδί στο API του συστήματος παράδοσης περιεχομένου Cloudflare που υποκλαπεί κατά την πρώτη επίθεση. Κατά την ανακατασκευή των περιεχομένων των διακομιστών μετά το πρώτο hack, οι διαχειριστές του Matrix ενημέρωσαν μόνο τα νέα προσωπικά κλειδιά και παρέλειψαν να ενημερώσουν το κλειδί στο Cloudflare.
Κατά τη δεύτερη επίθεση, οι διακομιστές Matrix παρέμειναν ανέγγιχτοι· οι αλλαγές περιορίστηκαν μόνο στην αντικατάσταση διευθύνσεων στο DNS. Εάν ο χρήστης έχει ήδη αλλάξει τον κωδικό πρόσβασης μετά την πρώτη επίθεση, δεν χρειάζεται να τον αλλάξει δεύτερη φορά. Αλλά εάν ο κωδικός πρόσβασης δεν έχει αλλάξει ακόμη, πρέπει να ενημερωθεί το συντομότερο δυνατό, καθώς επιβεβαιώθηκε η διαρροή της βάσης δεδομένων με κατακερματισμούς κωδικών πρόσβασης. Το τρέχον σχέδιο είναι να ξεκινήσει μια διαδικασία αναγκαστικής επαναφοράς κωδικού πρόσβασης την επόμενη φορά που θα συνδεθείτε.
Εκτός από τη διαρροή κωδικών πρόσβασης, επιβεβαιώθηκε επίσης ότι τα κλειδιά GPG που χρησιμοποιούνται για τη δημιουργία ψηφιακών υπογραφών για πακέτα στο αποθετήριο Debian Synapse και τις εκδόσεις Riot/Web έχουν περιέλθει στα χέρια των εισβολέων. Τα κλειδιά προστατεύονταν με κωδικό πρόσβασης. Τα κλειδιά έχουν ήδη ανακληθεί αυτή τη στιγμή. Τα κλειδιά κατασχέθηκαν στις 4 Απριλίου, από τότε δεν έχουν κυκλοφορήσει ενημερώσεις του Synapse, αλλά κυκλοφόρησε το Riot/Web client 1.0.7 (ένας προκαταρκτικός έλεγχος έδειξε ότι δεν είχε παραβιαστεί).
Ο εισβολέας δημοσίευσε μια σειρά από αναφορές στο GitHub με λεπτομέρειες της επίθεσης και συμβουλές για αυξημένη προστασία, αλλά αυτές διαγράφηκαν. Ωστόσο, οι αρχειοθετημένες αναφορές .
Για παράδειγμα, ο εισβολέας ανέφερε ότι οι προγραμματιστές του Matrix θα έπρεπε έλεγχος ταυτότητας δύο παραγόντων ή τουλάχιστον μη χρήση ανακατεύθυνσης παράγοντα SSH ("ForwardAgent ναι"), τότε η διείσδυση στην υποδομή θα αποκλειστεί. Η κλιμάκωση της επίθεσης θα μπορούσε επίσης να σταματήσει δίνοντας στους προγραμματιστές μόνο τα απαραίτητα προνόμια, αντί σε όλους τους διακομιστές.
Επιπλέον, επικρίθηκε η πρακτική της αποθήκευσης κλειδιών για τη δημιουργία ψηφιακών υπογραφών σε διακομιστές παραγωγής· για τέτοιους σκοπούς θα πρέπει να εκχωρηθεί ένας ξεχωριστός απομονωμένος κεντρικός υπολογιστής. Ακόμα επιτίθεται , ότι αν οι προγραμματιστές του Matrix είχαν ελέγξει τακτικά τα αρχεία καταγραφής και ανέλυαν ανωμαλίες, θα είχαν παρατηρήσει ίχνη μιας εισβολής από νωρίς (το hack CI παρέμεινε απαρατήρητο για ένα μήνα). Άλλο πρόβλημα αποθήκευση όλων των αρχείων διαμόρφωσης στο Git, το οποίο επέτρεψε την αξιολόγηση των ρυθμίσεων άλλων κεντρικών υπολογιστών εάν κάποιος από αυτούς είχε παραβιαστεί. Πρόσβαση μέσω SSH σε διακομιστές υποδομής περιορίζεται σε ένα ασφαλές εσωτερικό δίκτυο, το οποίο κατέστησε δυνατή τη σύνδεσή τους από οποιαδήποτε εξωτερική διεύθυνση.
Πηγή: opennet.ru
[:]