новые detsentraliseeritud sõnumiplatvormi Matrix infrastruktuuri häkkimise kohta, mille kohta hommikul. Probleemseks lüliks, mille kaudu ründajad tungisid, oli Jenkinsi pideva integratsiooni süsteem, millesse häkiti 13. märtsil. Seejärel püüti Jenkinsi serveris kinni ühe administraatori sisselogimine, mille SSH-agent oli ümber suunanud, ja 4. aprillil said ründajad ligipääsu teistele taristuserveritele.
Teise ründe ajal suunati matrix.org veebisait DNS-i parameetrite muutmise teel teise serverisse (matrixnotorg.github.io), kasutades esimese ründe ajal pealtkuulatud Cloudflare'i sisuedastussüsteemi API võtit. Pärast esimest häkkimist serverite sisu ümberehitamisel värskendasid Matrixi administraatorid ainult uusi isiklikke võtmeid ja jätsid Cloudflare'i võtme värskendamise vahele.
Teise rünnaku ajal jäid Matrixi serverid puutumata, muudatused piirdusid ainult aadresside asendamisega DNS-is. Kui kasutaja on pärast esimest rünnakut parooli juba muutnud, pole seda vaja teist korda muuta. Kuid kui parooli pole veel muudetud, tuleb seda võimalikult kiiresti värskendada, kuna parooliräsidega andmebaasi leke on kinnitatud. Praegune plaan on käivitada järgmisel sisselogimisel parooli sunnitud lähtestamise protsess.
Lisaks paroolide lekkimisele on kinnitust leidnud ka see, et ründajate kätte on sattunud Debian Synapse repositooriumis ja Riot/Webi väljaannetes olevate pakettide digiallkirjade genereerimiseks kasutatavad GPG-võtmed. Võtmed olid parooliga kaitstud. Võtmed on praegu juba tühistatud. Võtmed püüti kinni 4. aprillil, sellest ajast peale pole Synapse'i uuendusi välja antud, küll aga ilmus Riot/Web klient 1.0.7 (esialgne kontroll näitas, et seda ei rikutud).
Ründaja postitas GitHubi aruandeid koos rünnaku üksikasjade ja näpunäidetega kaitse suurendamiseks, kuid need kustutati. Arhiveeritud aruanded aga .
Näiteks teatas ründaja, et Matrixi arendajad peaksid seda tegema kahefaktoriline autentimine või vähemalt mitte SSH-agendi ümbersuunamine (“ForwardAgent jah”), siis oleks tungimine infrastruktuuri blokeeritud. Rünnaku eskaleerumist saaks peatada ka sellega, et anda arendajatele vaid vajalikud privileegid, mitte kõikides serverites.
Lisaks kritiseeriti tootmisserverites digiallkirjade loomise võtmete salvestamist; selleks tuleks eraldada eraldi isoleeritud host. Ikka ründab , et kui Matrixi arendajad oleksid regulaarselt logisid auditeerinud ja anomaaliaid analüüsinud, oleksid nad varakult märganud häkkimise jälgi (CI häkkimist ei tuvastatud kuu aega). Teine probleem kõigi konfiguratsioonifailide salvestamine Giti, mis võimaldas hinnata teiste hostide sätteid, kui üks neist oleks häkitud. Juurdepääs SSH kaudu infrastruktuuri serveritele piiratud turvalise sisevõrguga, mis võimaldas nendega ühenduse luua mis tahes väliselt aadressilt.
Allikasopennet.ru
[: et]новые detsentraliseeritud sõnumiplatvormi Matrix infrastruktuuri häkkimise kohta, mille kohta hommikul. Probleemseks lüliks, mille kaudu ründajad tungisid, oli Jenkinsi pideva integratsiooni süsteem, millesse häkiti 13. märtsil. Seejärel püüti Jenkinsi serveris kinni ühe administraatori sisselogimine, mille SSH-agent oli ümber suunanud, ja 4. aprillil said ründajad ligipääsu teistele taristuserveritele.
Teise ründe ajal suunati matrix.org veebisait DNS-i parameetrite muutmise teel teise serverisse (matrixnotorg.github.io), kasutades esimese ründe ajal pealtkuulatud Cloudflare'i sisuedastussüsteemi API võtit. Pärast esimest häkkimist serverite sisu ümberehitamisel värskendasid Matrixi administraatorid ainult uusi isiklikke võtmeid ja jätsid Cloudflare'i võtme värskendamise vahele.
Teise rünnaku ajal jäid Matrixi serverid puutumata, muudatused piirdusid ainult aadresside asendamisega DNS-is. Kui kasutaja on pärast esimest rünnakut parooli juba muutnud, pole seda vaja teist korda muuta. Kuid kui parooli pole veel muudetud, tuleb seda võimalikult kiiresti värskendada, kuna parooliräsidega andmebaasi leke on kinnitatud. Praegune plaan on käivitada järgmisel sisselogimisel parooli sunnitud lähtestamise protsess.
Lisaks paroolide lekkimisele on kinnitust leidnud ka see, et ründajate kätte on sattunud Debian Synapse repositooriumis ja Riot/Webi väljaannetes olevate pakettide digiallkirjade genereerimiseks kasutatavad GPG-võtmed. Võtmed olid parooliga kaitstud. Võtmed on praegu juba tühistatud. Võtmed püüti kinni 4. aprillil, sellest ajast peale pole Synapse'i uuendusi välja antud, küll aga ilmus Riot/Web klient 1.0.7 (esialgne kontroll näitas, et seda ei rikutud).
Ründaja postitas GitHubi aruandeid koos rünnaku üksikasjade ja näpunäidetega kaitse suurendamiseks, kuid need kustutati. Arhiveeritud aruanded aga .
Näiteks teatas ründaja, et Matrixi arendajad peaksid seda tegema kahefaktoriline autentimine või vähemalt mitte SSH-agendi ümbersuunamine (“ForwardAgent jah”), siis oleks tungimine infrastruktuuri blokeeritud. Rünnaku eskaleerumist saaks peatada ka sellega, et anda arendajatele vaid vajalikud privileegid, mitte kõikides serverites.
Lisaks kritiseeriti tootmisserverites digiallkirjade loomise võtmete salvestamist; selleks tuleks eraldada eraldi isoleeritud host. Ikka ründab , et kui Matrixi arendajad oleksid regulaarselt logisid auditeerinud ja anomaaliaid analüüsinud, oleksid nad varakult märganud häkkimise jälgi (CI häkkimist ei tuvastatud kuu aega). Teine probleem kõigi konfiguratsioonifailide salvestamine Giti, mis võimaldas hinnata teiste hostide sätteid, kui üks neist oleks häkitud. Juurdepääs SSH kaudu infrastruktuuri serveritele piiratud turvalise sisevõrguga, mis võimaldas nendega ühenduse luua mis tahes väliselt aadressilt.
Allikas: opennet.ru
[:]