nouveau sur le piratage de l'infrastructure de la plateforme de messagerie décentralisée Matrix, dont le matin. Le maillon problématique par lequel les attaquants ont pénétré était le système d'intégration continue Jenkins, qui a été piraté le 13 mars. Puis, sur le serveur Jenkins, le login d'un des administrateurs, redirigé par un agent SSH, a été intercepté, et le 4 avril, les attaquants ont accédé à d'autres serveurs d'infrastructure.
Lors de la deuxième attaque, le site Matrix.org a été redirigé vers un autre serveur (matrixnotorg.github.io) en modifiant les paramètres DNS, en utilisant la clé de l'API du système de diffusion de contenu Cloudflare interceptée lors de la première attaque. Lors de la reconstruction du contenu des serveurs après le premier piratage, les administrateurs de Matrix ont uniquement mis à jour les nouvelles clés personnelles et ont manqué de mettre à jour la clé vers Cloudflare.
Lors de la deuxième attaque, les serveurs Matrix sont restés intacts ; les changements se sont limités au remplacement des adresses dans le DNS. Si l’utilisateur a déjà modifié le mot de passe après la première attaque, il n’est pas nécessaire de le modifier une seconde fois. Mais si le mot de passe n'a pas encore été modifié, il doit être mis à jour le plus rapidement possible, car une fuite de la base de données avec hachages de mots de passe a été confirmée. Le plan actuel consiste à lancer un processus de réinitialisation forcée du mot de passe lors de votre prochaine connexion.
Outre la fuite de mots de passe, il a également été confirmé que les clés GPG utilisées pour générer des signatures numériques pour les paquets du référentiel Debian Synapse et des versions Riot/Web étaient tombées entre les mains des attaquants. Les clés étaient protégées par mot de passe. Les clés ont déjà été révoquées à ce moment-là. Les clés ont été interceptées le 4 avril, depuis lors aucune mise à jour de Synapse n'a été publiée, mais le client Riot/Web 1.0.7 a été publié (une vérification préliminaire a montré qu'il n'était pas compromis).
L'attaquant a publié une série de rapports sur GitHub contenant des détails sur l'attaque et des conseils pour accroître la protection, mais ils ont été supprimés. Cependant, les rapports archivés .
Par exemple, l'attaquant a signalé que les développeurs de Matrix devraient authentification à deux facteurs ou du moins ne pas utiliser la redirection d’agent SSH (« ForwardAgent oui »), alors la pénétration dans l’infrastructure serait bloquée. L'escalade de l'attaque pourrait également être stoppée en accordant aux développeurs uniquement les privilèges nécessaires, plutôt que sur tous les serveurs.
De plus, la pratique consistant à stocker des clés pour créer des signatures numériques sur des serveurs de production a été critiquée ; un hôte isolé distinct devrait être alloué à ces fins. Toujours en attaque , que si les développeurs de Matrix avaient régulièrement audité les journaux et analysé les anomalies, ils auraient remarqué très tôt les traces d'un piratage (le piratage CI n'a pas été détecté pendant un mois). Un autre problème stocker tous les fichiers de configuration dans Git, ce qui permettait d'évaluer les paramètres des autres hôtes si l'un d'eux était piraté. Accès via SSH aux serveurs d'infrastructure limités à un réseau interne sécurisé, qui permettait de s’y connecter depuis n’importe quelle adresse externe.
Sourceopennet.ru
[: Fr]nouveau sur le piratage de l'infrastructure de la plateforme de messagerie décentralisée Matrix, dont le matin. Le maillon problématique par lequel les attaquants ont pénétré était le système d'intégration continue Jenkins, qui a été piraté le 13 mars. Puis, sur le serveur Jenkins, le login d'un des administrateurs, redirigé par un agent SSH, a été intercepté, et le 4 avril, les attaquants ont accédé à d'autres serveurs d'infrastructure.
Lors de la deuxième attaque, le site Matrix.org a été redirigé vers un autre serveur (matrixnotorg.github.io) en modifiant les paramètres DNS, en utilisant la clé de l'API du système de diffusion de contenu Cloudflare interceptée lors de la première attaque. Lors de la reconstruction du contenu des serveurs après le premier piratage, les administrateurs de Matrix ont uniquement mis à jour les nouvelles clés personnelles et ont manqué de mettre à jour la clé vers Cloudflare.
Lors de la deuxième attaque, les serveurs Matrix sont restés intacts ; les changements se sont limités au remplacement des adresses dans le DNS. Si l’utilisateur a déjà modifié le mot de passe après la première attaque, il n’est pas nécessaire de le modifier une seconde fois. Mais si le mot de passe n'a pas encore été modifié, il doit être mis à jour le plus rapidement possible, car une fuite de la base de données avec hachages de mots de passe a été confirmée. Le plan actuel consiste à lancer un processus de réinitialisation forcée du mot de passe lors de votre prochaine connexion.
Outre la fuite de mots de passe, il a également été confirmé que les clés GPG utilisées pour générer des signatures numériques pour les paquets du référentiel Debian Synapse et des versions Riot/Web étaient tombées entre les mains des attaquants. Les clés étaient protégées par mot de passe. Les clés ont déjà été révoquées à ce moment-là. Les clés ont été interceptées le 4 avril, depuis lors aucune mise à jour de Synapse n'a été publiée, mais le client Riot/Web 1.0.7 a été publié (une vérification préliminaire a montré qu'il n'était pas compromis).
L'attaquant a publié une série de rapports sur GitHub contenant des détails sur l'attaque et des conseils pour accroître la protection, mais ils ont été supprimés. Cependant, les rapports archivés .
Par exemple, l'attaquant a signalé que les développeurs de Matrix devraient authentification à deux facteurs ou du moins ne pas utiliser la redirection d’agent SSH (« ForwardAgent oui »), alors la pénétration dans l’infrastructure serait bloquée. L'escalade de l'attaque pourrait également être stoppée en accordant aux développeurs uniquement les privilèges nécessaires, plutôt que sur tous les serveurs.
De plus, la pratique consistant à stocker des clés pour créer des signatures numériques sur des serveurs de production a été critiquée ; un hôte isolé distinct devrait être alloué à ces fins. Toujours en attaque , que si les développeurs de Matrix avaient régulièrement audité les journaux et analysé les anomalies, ils auraient remarqué très tôt les traces d'un piratage (le piratage CI n'a pas été détecté pendant un mois). Un autre problème stocker tous les fichiers de configuration dans Git, ce qui permettait d'évaluer les paramètres des autres hôtes si l'un d'eux était piraté. Accès via SSH aux serveurs d'infrastructure limités à un réseau interne sécurisé, qui permettait de s’y connecter depuis n’importe quelle adresse externe.
Source: opennet.ru
[:]