ProHoster > وبلاگ > اخبار اینترنتی > جزئیات هک دوم ماتریکس. کلیدهای GPG پروژه به خطر افتاده است

جزئیات هک دوم ماتریکس. کلیدهای GPG پروژه به خطر افتاده است

[:en]

منتشر شده новые جزئیات در مورد هک زیرساخت پلت فرم پیام رسانی غیرمتمرکز ماتریکس، که در مورد آن گزارش داد در صبح. لینک مشکل ساز که مهاجمان از طریق آن نفوذ کردند، سیستم یکپارچه سازی مداوم جنکینز بود که در 13 مارس هک شد. سپس، در سرور جنکینز، ورود یکی از مدیران، که توسط یک عامل SSH هدایت شده بود، رهگیری شد و در 4 آوریل، مهاجمان به سرورهای زیرساخت دیگر دسترسی پیدا کردند.

در طول حمله دوم، وب سایت matrix.org با تغییر پارامترهای DNS، با استفاده از کلید API سیستم تحویل محتوای Cloudflare که در طول اولین حمله رهگیری شده بود، به سرور دیگری (matrixnotorg.github.io) هدایت شد. هنگام بازسازی محتویات سرورها پس از اولین هک، مدیران Matrix فقط کلیدهای شخصی جدید را به روز می کردند و به روز رسانی کلید برای Cloudflare را از دست دادند.

در طول حمله دوم، سرورهای Matrix دست نخورده باقی ماندند؛ تغییرات فقط به جایگزینی آدرس‌ها در DNS محدود شد. اگر کاربر پس از اولین حمله رمز عبور را تغییر داده باشد، نیازی به تغییر آن برای بار دوم نیست. اما اگر رمز عبور هنوز تغییر نکرده است، باید در اسرع وقت به روز شود، زیرا نشت پایگاه داده با هش رمز عبور تایید شده است. برنامه فعلی این است که دفعه بعد که وارد سیستم می شوید، فرآیند بازنشانی اجباری رمز عبور را آغاز کنید.

علاوه بر فاش شدن رمزهای عبور، همچنین تأیید شده است که کلیدهای GPG که برای تولید امضای دیجیتال برای بسته‌های موجود در مخزن Debian Synapse و نسخه‌های Riot/Web استفاده می‌شوند به دست مهاجمان افتاده است. کلیدها با رمز محافظت شده بودند. در حال حاضر کلیدها باطل شده اند. کلیدها در 4 آوریل رهگیری شدند، از آن زمان هیچ به روز رسانی سیناپس منتشر نشده است، اما Riot/Web Client 1.0.7 منتشر شد (بررسی اولیه نشان داد که به خطر نیفتاده است).

مهاجم مجموعه‌ای از گزارش‌ها را با جزئیات حمله و نکاتی برای افزایش حفاظت در GitHub ارسال کرد، اما حذف شدند. با این حال، گزارش های آرشیو شده جان سالم به در برد.
به عنوان مثال، مهاجم گزارش داد که توسعه دهندگان Matrix باید استفاده کنید احراز هویت دو مرحله ای یا حداقل عدم استفاده از تغییر مسیر عامل SSH ("ForwardAgent بله")، سپس نفوذ به زیرساخت مسدود می شود. تشدید حمله همچنین می تواند با دادن امتیازات لازم به توسعه دهندگان متوقف شود دسترسی روت کامل در تمام سرورها

علاوه بر این، عمل ذخیره کلید برای ایجاد امضای دیجیتال در سرورهای تولید مورد انتقاد قرار گرفت؛ یک میزبان مجزا باید برای چنین اهدافی اختصاص داده شود. همچنان حمله می کند сообщил، که اگر توسعه دهندگان Matrix به طور منظم لاگ ها را بررسی می کردند و ناهنجاری ها را تجزیه و تحلیل می کردند، در اوایل متوجه ردپای هک می شدند (هک CI برای یک ماه کشف نشد). مشکل دیگر بود ذخیره سازی تمام فایل های پیکربندی در Git که امکان ارزیابی تنظیمات هاست های دیگر را در صورت هک شدن یکی از آنها فراهم می کند. دسترسی از طریق SSH به سرورهای زیرساخت نبود محدود به یک شبکه داخلی امن، که امکان اتصال به آنها را از هر آدرس خارجی ممکن می کرد.

منبعopennet.ru

[: en]

منتشر شده новые جزئیات در مورد هک زیرساخت پلت فرم پیام رسانی غیرمتمرکز ماتریکس، که در مورد آن گزارش داد در صبح. لینک مشکل ساز که مهاجمان از طریق آن نفوذ کردند، سیستم یکپارچه سازی مداوم جنکینز بود که در 13 مارس هک شد. سپس، در سرور جنکینز، ورود یکی از مدیران، که توسط یک عامل SSH هدایت شده بود، رهگیری شد و در 4 آوریل، مهاجمان به سرورهای زیرساخت دیگر دسترسی پیدا کردند.

در طول حمله دوم، وب سایت matrix.org با تغییر پارامترهای DNS، با استفاده از کلید API سیستم تحویل محتوای Cloudflare که در طول اولین حمله رهگیری شده بود، به سرور دیگری (matrixnotorg.github.io) هدایت شد. هنگام بازسازی محتویات سرورها پس از اولین هک، مدیران Matrix فقط کلیدهای شخصی جدید را به روز می کردند و به روز رسانی کلید برای Cloudflare را از دست دادند.

در طول حمله دوم، سرورهای Matrix دست نخورده باقی ماندند؛ تغییرات فقط به جایگزینی آدرس‌ها در DNS محدود شد. اگر کاربر پس از اولین حمله رمز عبور را تغییر داده باشد، نیازی به تغییر آن برای بار دوم نیست. اما اگر رمز عبور هنوز تغییر نکرده است، باید در اسرع وقت به روز شود، زیرا نشت پایگاه داده با هش رمز عبور تایید شده است. برنامه فعلی این است که دفعه بعد که وارد سیستم می شوید، فرآیند بازنشانی اجباری رمز عبور را آغاز کنید.

علاوه بر فاش شدن رمزهای عبور، همچنین تأیید شده است که کلیدهای GPG که برای تولید امضای دیجیتال برای بسته‌های موجود در مخزن Debian Synapse و نسخه‌های Riot/Web استفاده می‌شوند به دست مهاجمان افتاده است. کلیدها با رمز محافظت شده بودند. در حال حاضر کلیدها باطل شده اند. کلیدها در 4 آوریل رهگیری شدند، از آن زمان هیچ به روز رسانی سیناپس منتشر نشده است، اما Riot/Web Client 1.0.7 منتشر شد (بررسی اولیه نشان داد که به خطر نیفتاده است).

مهاجم مجموعه‌ای از گزارش‌ها را با جزئیات حمله و نکاتی برای افزایش حفاظت در GitHub ارسال کرد، اما حذف شدند. با این حال، گزارش های آرشیو شده جان سالم به در برد.
به عنوان مثال، مهاجم گزارش داد که توسعه دهندگان Matrix باید استفاده کنید احراز هویت دو مرحله ای یا حداقل عدم استفاده از تغییر مسیر عامل SSH ("ForwardAgent بله")، سپس نفوذ به زیرساخت مسدود می شود. تشدید حمله همچنین می تواند با دادن امتیازات لازم به توسعه دهندگان متوقف شود دسترسی روت کامل در تمام سرورها

علاوه بر این، عمل ذخیره کلید برای ایجاد امضای دیجیتال در سرورهای تولید مورد انتقاد قرار گرفت؛ یک میزبان مجزا باید برای چنین اهدافی اختصاص داده شود. همچنان حمله می کند сообщил، که اگر توسعه دهندگان Matrix به طور منظم لاگ ها را بررسی می کردند و ناهنجاری ها را تجزیه و تحلیل می کردند، در اوایل متوجه ردپای هک می شدند (هک CI برای یک ماه کشف نشد). مشکل دیگر بود ذخیره سازی تمام فایل های پیکربندی در Git که امکان ارزیابی تنظیمات هاست های دیگر را در صورت هک شدن یکی از آنها فراهم می کند. دسترسی از طریق SSH به سرورهای زیرساخت نبود محدود به یک شبکه داخلی امن، که امکان اتصال به آنها را از هر آدرس خارجی ممکن می کرد.

منبع: opennet.ru

[]

اضافه کردن نظر