новые hajautetun viestintäalustan Matrixin infrastruktuurin hakkeroinnista, josta aamulla. Ongelmallinen linkki, jonka kautta hyökkääjät tunkeutuivat, oli Jenkinsin jatkuva integrointijärjestelmä, joka hakkeroitiin 13. maaliskuuta. Sitten Jenkins-palvelimella siepattiin yhden järjestelmänvalvojan sisäänkirjautuminen, jonka SSH-agentti ohjasi uudelleen, ja 4. huhtikuuta hyökkääjät pääsivät muihin infrastruktuuripalvelimiin.
Toisen hyökkäyksen aikana matrix.org-verkkosivusto ohjattiin toiselle palvelimelle (matrixnotorg.github.io) muuttamalla DNS-parametreja käyttämällä avainta Cloudflare-sisällönjakelujärjestelmän API:lle, joka siepattiin ensimmäisen hyökkäyksen aikana. Rakentaessaan palvelimien sisältöä uudelleen ensimmäisen hakkeroinnin jälkeen Matrixin järjestelmänvalvojat päivittivät vain uusia henkilökohtaisia avaimia ja missasivat avaimen päivittämisen Cloudflareen.
Toisen hyökkäyksen aikana Matrix-palvelimet pysyivät koskemattomina; muutokset rajoittuivat vain DNS-osoitteiden korvaamiseen. Jos käyttäjä on jo vaihtanut salasanan ensimmäisen hyökkäyksen jälkeen, sitä ei tarvitse vaihtaa toista kertaa. Mutta jos salasanaa ei ole vielä vaihdettu, se on päivitettävä mahdollisimman pian, koska tietokannan vuoto salasanahajautusaineilla on vahvistettu. Nykyinen suunnitelma on käynnistää pakotettu salasanan palautusprosessi, kun seuraavan kerran kirjaudut sisään.
Salasanojen vuotamisen lisäksi on myös vahvistettu, että GPG-avaimet, joilla luodaan digitaalisia allekirjoituksia Debian Synapse -varaston ja Riot/Web-julkaisujen paketeille, ovat joutuneet hyökkääjien käsiin. Avaimet oli suojattu salasanalla. Avaimet on jo peruutettu tällä hetkellä. Avaimet siepattiin 4. huhtikuuta, sen jälkeen Synapse-päivityksiä ei ole julkaistu, mutta Riot/Web-asiakas 1.0.7 julkaistiin (alustava tarkistus osoitti, ettei se ollut vaarantunut).
Hyökkääjä julkaisi GitHubissa joukon raportteja, joissa oli tietoja hyökkäyksestä ja vinkkejä suojan lisäämiseen, mutta ne poistettiin. Kuitenkin arkistoidut raportit .
Esimerkiksi hyökkääjä ilmoitti, että Matrix-kehittäjien pitäisi kaksivaiheinen todennus tai ainakaan käyttämättä SSH-agentin uudelleenohjausta ("ForwardAgent kyllä"), tunkeutuminen infrastruktuuriin estetään. Hyökkäyksen eskaloituminen voitaisiin myös pysäyttää antamalla kehittäjille vain tarvittavat oikeudet kaikilla palvelimilla.
Lisäksi kritisoitiin käytäntöä tallentaa digitaalisten allekirjoitusten luomiseen tarvittavia avaimia tuotantopalvelimille, joten tätä tarkoitusta varten tulisi varata erillinen isäntä. Hyökkää edelleen , että jos Matrix-kehittäjät olisivat säännöllisesti tarkastaneet lokit ja analysoineet poikkeavuuksia, he olisivat huomanneet hakkeroinnin jälkiä varhain (CI-hakkerointia ei havaittu kuukauden ajan). Toinen ongelma tallentaa kaikki määritystiedostot Gitiin, mikä mahdollisti muiden isäntien asetusten arvioinnin, jos jokin niistä oli hakkeroitu. Pääsy infrastruktuuripalvelimiin SSH:n kautta rajoitettu suojattuun sisäiseen verkkoon, joka mahdollisti yhteyden muodostamisen mistä tahansa ulkoisesta osoitteesta.
Lähdeopennet.ru
[En]новые hajautetun viestintäalustan Matrixin infrastruktuurin hakkeroinnista, josta aamulla. Ongelmallinen linkki, jonka kautta hyökkääjät tunkeutuivat, oli Jenkinsin jatkuva integrointijärjestelmä, joka hakkeroitiin 13. maaliskuuta. Sitten Jenkins-palvelimella siepattiin yhden järjestelmänvalvojan sisäänkirjautuminen, jonka SSH-agentti ohjasi uudelleen, ja 4. huhtikuuta hyökkääjät pääsivät muihin infrastruktuuripalvelimiin.
Toisen hyökkäyksen aikana matrix.org-verkkosivusto ohjattiin toiselle palvelimelle (matrixnotorg.github.io) muuttamalla DNS-parametreja käyttämällä avainta Cloudflare-sisällönjakelujärjestelmän API:lle, joka siepattiin ensimmäisen hyökkäyksen aikana. Rakentaessaan palvelimien sisältöä uudelleen ensimmäisen hakkeroinnin jälkeen Matrixin järjestelmänvalvojat päivittivät vain uusia henkilökohtaisia avaimia ja missasivat avaimen päivittämisen Cloudflareen.
Toisen hyökkäyksen aikana Matrix-palvelimet pysyivät koskemattomina; muutokset rajoittuivat vain DNS-osoitteiden korvaamiseen. Jos käyttäjä on jo vaihtanut salasanan ensimmäisen hyökkäyksen jälkeen, sitä ei tarvitse vaihtaa toista kertaa. Mutta jos salasanaa ei ole vielä vaihdettu, se on päivitettävä mahdollisimman pian, koska tietokannan vuoto salasanahajautusaineilla on vahvistettu. Nykyinen suunnitelma on käynnistää pakotettu salasanan palautusprosessi, kun seuraavan kerran kirjaudut sisään.
Salasanojen vuotamisen lisäksi on myös vahvistettu, että GPG-avaimet, joilla luodaan digitaalisia allekirjoituksia Debian Synapse -varaston ja Riot/Web-julkaisujen paketeille, ovat joutuneet hyökkääjien käsiin. Avaimet oli suojattu salasanalla. Avaimet on jo peruutettu tällä hetkellä. Avaimet siepattiin 4. huhtikuuta, sen jälkeen Synapse-päivityksiä ei ole julkaistu, mutta Riot/Web-asiakas 1.0.7 julkaistiin (alustava tarkistus osoitti, ettei se ollut vaarantunut).
Hyökkääjä julkaisi GitHubissa joukon raportteja, joissa oli tietoja hyökkäyksestä ja vinkkejä suojan lisäämiseen, mutta ne poistettiin. Kuitenkin arkistoidut raportit .
Esimerkiksi hyökkääjä ilmoitti, että Matrix-kehittäjien pitäisi kaksivaiheinen todennus tai ainakaan käyttämättä SSH-agentin uudelleenohjausta ("ForwardAgent kyllä"), tunkeutuminen infrastruktuuriin estetään. Hyökkäyksen eskaloituminen voitaisiin myös pysäyttää antamalla kehittäjille vain tarvittavat oikeudet kaikilla palvelimilla.
Lisäksi kritisoitiin käytäntöä tallentaa digitaalisten allekirjoitusten luomiseen tarvittavia avaimia tuotantopalvelimille, joten tätä tarkoitusta varten tulisi varata erillinen isäntä. Hyökkää edelleen , että jos Matrix-kehittäjät olisivat säännöllisesti tarkastaneet lokit ja analysoineet poikkeavuuksia, he olisivat huomanneet hakkeroinnin jälkiä varhain (CI-hakkerointia ei havaittu kuukauden ajan). Toinen ongelma tallentaa kaikki määritystiedostot Gitiin, mikä mahdollisti muiden isäntien asetusten arvioinnin, jos jokin niistä oli hakkeroitu. Pääsy infrastruktuuripalvelimiin SSH:n kautta rajoitettu suojattuun sisäiseen verkkoon, joka mahdollisti yhteyden muodostamisen mistä tahansa ulkoisesta osoitteesta.
Lähde: opennet.ru
[:]