новые pri la hakado de la infrastrukturo de la malcentralizita mesaĝa platformo Matrix, pri kiu matene. La problema ligo tra kiu la atakantoj penetris estis la daŭra integriga sistemo de Jenkins, kiu estis hakita la 13-an de marto. Tiam, sur la Jenkins-servilo, la ensaluto de unu el la administrantoj, alidirektita de SSH-agento, estis kaptita, kaj la 4-an de aprilo, la atakantoj akiris aliron al aliaj infrastrukturaj serviloj.
Dum la dua atako, la retejo matrix.org estis redirektita al alia servilo (matrixnotorg.github.io) ŝanĝante la DNS-parametrojn, uzante la ŝlosilon al la Cloudflare-enhava liversistemo API kaptita dum la unua atako. Dum rekonstruado de la enhavo de la serviloj post la unua hako, Matrix-administrantoj nur ĝisdatigis novajn personajn ŝlosilojn kaj maltrafis ĝisdatigi la ŝlosilon al Cloudflare.
Dum la dua atako, la Matrix-serviloj restis netuŝitaj; ŝanĝoj estis limigitaj nur al anstataŭigado de adresoj en la DNS. Se la uzanto jam ŝanĝis la pasvorton post la unua atako, ne necesas ŝanĝi ĝin duan fojon. Sed se la pasvorto ankoraŭ ne estis ŝanĝita, ĝi devas esti ĝisdatigita kiel eble plej baldaŭ, ĉar la liko de la datumbazo kun pasvortaj haŝaĵoj estis konfirmita. La nuna plano estas komenci devigan pasvortigan procezon la venontan fojon kiam vi ensalutos.
Krom la liko de pasvortoj, ankaŭ estis konfirmite, ke GPG-ŝlosiloj uzataj por generi ciferecajn subskribojn por pakaĵoj en la Debian Synapse-deponejo kaj Riot/Web-eldonoj falis en la manojn de la atakantoj. La ŝlosiloj estis pasvorte protektitaj. La ŝlosiloj jam estas revokitaj ĉi-momente. La ŝlosiloj estis kaptitaj la 4-an de aprilo, ekde tiam neniuj ĝisdatigoj de Synapse estis publikigitaj, sed la Riot/Web-kliento 1.0.7 estis liberigita (prepara kontrolo montris, ke ĝi ne estis endanĝerigita).
La atakanto publikigis serion da raportoj sur GitHub kun detaloj pri la atako kaj konsiletoj por pliigi protekton, sed ili estis forigitaj. Tamen, la arkivitaj raportoj .
Ekzemple, la atakanto raportis, ke la programistoj de Matrix devus dufaktora aŭtentikigo aŭ almenaŭ ne uzanta SSH-agentan redirekton ("ForwardAgent jes"), tiam enpenetro en la infrastrukturon estus blokita. La eskalado de la atako ankaŭ povus esti ĉesigita donante al programistoj nur la necesajn privilegiojn, prefere ol sur ĉiuj serviloj.
Plie, la praktiko de stokado de ŝlosiloj por kreado de ciferecaj subskriboj sur produktadserviloj estis kritikita; aparta izolita gastiganto devus esti asignita por tiaj celoj. Ankoraŭ atakante , ke se Matrix-programistoj regule kontrolis protokolojn kaj analizis anomaliojn, ili frue rimarkus spurojn de hako (la CI-hako restis nerimarkita dum monato). Alia problemo stokante ĉiujn agordajn dosierojn en Git, kio ebligis taksi la agordojn de aliaj gastigantoj se unu el ili estis hakita. Aliro per SSH al infrastrukturaj serviloj limigita al sekura interna reto, kiu ebligis konekti al ili de iu ajn ekstera adreso.
Fontoopennet.ru
[: eo]новые pri la hakado de la infrastrukturo de la malcentralizita mesaĝa platformo Matrix, pri kiu matene. La problema ligo tra kiu la atakantoj penetris estis la daŭra integriga sistemo de Jenkins, kiu estis hakita la 13-an de marto. Tiam, sur la Jenkins-servilo, la ensaluto de unu el la administrantoj, alidirektita de SSH-agento, estis kaptita, kaj la 4-an de aprilo, la atakantoj akiris aliron al aliaj infrastrukturaj serviloj.
Dum la dua atako, la retejo matrix.org estis redirektita al alia servilo (matrixnotorg.github.io) ŝanĝante la DNS-parametrojn, uzante la ŝlosilon al la Cloudflare-enhava liversistemo API kaptita dum la unua atako. Dum rekonstruado de la enhavo de la serviloj post la unua hako, Matrix-administrantoj nur ĝisdatigis novajn personajn ŝlosilojn kaj maltrafis ĝisdatigi la ŝlosilon al Cloudflare.
Dum la dua atako, la Matrix-serviloj restis netuŝitaj; ŝanĝoj estis limigitaj nur al anstataŭigado de adresoj en la DNS. Se la uzanto jam ŝanĝis la pasvorton post la unua atako, ne necesas ŝanĝi ĝin duan fojon. Sed se la pasvorto ankoraŭ ne estis ŝanĝita, ĝi devas esti ĝisdatigita kiel eble plej baldaŭ, ĉar la liko de la datumbazo kun pasvortaj haŝaĵoj estis konfirmita. La nuna plano estas komenci devigan pasvortigan procezon la venontan fojon kiam vi ensalutos.
Krom la liko de pasvortoj, ankaŭ estis konfirmite, ke GPG-ŝlosiloj uzataj por generi ciferecajn subskribojn por pakaĵoj en la Debian Synapse-deponejo kaj Riot/Web-eldonoj falis en la manojn de la atakantoj. La ŝlosiloj estis pasvorte protektitaj. La ŝlosiloj jam estas revokitaj ĉi-momente. La ŝlosiloj estis kaptitaj la 4-an de aprilo, ekde tiam neniuj ĝisdatigoj de Synapse estis publikigitaj, sed la Riot/Web-kliento 1.0.7 estis liberigita (prepara kontrolo montris, ke ĝi ne estis endanĝerigita).
La atakanto publikigis serion da raportoj sur GitHub kun detaloj pri la atako kaj konsiletoj por pliigi protekton, sed ili estis forigitaj. Tamen, la arkivitaj raportoj .
Ekzemple, la atakanto raportis, ke la programistoj de Matrix devus dufaktora aŭtentikigo aŭ almenaŭ ne uzanta SSH-agentan redirekton ("ForwardAgent jes"), tiam enpenetro en la infrastrukturon estus blokita. La eskalado de la atako ankaŭ povus esti ĉesigita donante al programistoj nur la necesajn privilegiojn, prefere ol sur ĉiuj serviloj.
Plie, la praktiko de stokado de ŝlosiloj por kreado de ciferecaj subskriboj sur produktadserviloj estis kritikita; aparta izolita gastiganto devus esti asignita por tiaj celoj. Ankoraŭ atakante , ke se Matrix-programistoj regule kontrolis protokolojn kaj analizis anomaliojn, ili frue rimarkus spurojn de hako (la CI-hako restis nerimarkita dum monato). Alia problemo stokante ĉiujn agordajn dosierojn en Git, kio ebligis taksi la agordojn de aliaj gastigantoj se unu el ili estis hakita. Aliro per SSH al infrastrukturaj serviloj limigita al sekura interna reto, kiu ebligis konekti al ili de iu ajn ekstera adreso.
fonto: opennet.ru
[:]