новые oer it hacken fan 'e ynfrastruktuer fan it desintralisearre berjochtenplatfoarm Matrix, oer hokker moarns. De problematyske keppeling wêrmei't de oanfallers penetrearre wie it Jenkins trochgeande yntegraasjesysteem, dat op 13 maart hacked waard. Dan, op 'e Jenkins-tsjinner, waard de oanmelding fan ien fan' e behearders, omlaat troch in SSH-agint, ûnderskept, en op april 4 krigen de oanfallers tagong ta oare ynfrastruktuerservers.
Tidens de twadde oanfal waard de matrix.org-webside omlaat nei in oare server (matrixnotorg.github.io) troch de DNS-parameters te feroarjen, mei de kaai foar it Cloudflare-ynhâldferlieningssysteem API ûnderskept tidens de earste oanfal. By it opbouwen fan 'e ynhâld fan' e servers nei de earste hack, hawwe Matrix-behearders allinich nije persoanlike kaaien bywurke en misse it bywurkjen fan de kaai nei Cloudflare.
Tidens de twadde oanfal bleaunen de Matrix-tsjinners ûnoantaaste; feroarings waarden allinich beheind ta it ferfangen fan adressen yn 'e DNS. As de brûker it wachtwurd al feroare hat nei de earste oanfal, is it net nedich om it in twadde kear te feroarjen. Mar as it wachtwurd noch net feroare is, moat it sa gau mooglik bywurke wurde, om't it lek fan 'e database mei wachtwurdhashes is befêstige. It hjoeddeistige plan is om de folgjende kear as jo ynlogge in twongen proses foar reset fan wachtwurden te begjinnen.
Neist it lek fan wachtwurden is it ek befêstige dat GPG-kaaien dy't brûkt wurde om digitale hantekeningen te generearjen foar pakketten yn 'e Debian Synapse-repository en Riot / Web-releases binne fallen yn' e hannen fan 'e oanfallers. De kaaien wiene wachtwurd beskerme. De kaaien binne op dit stuit al ynlutsen. De kaaien waarden ûnderskept op april 4, sûnt doe binne gjin Synapse updates frijlitten, mar de Riot / Web client 1.0.7 waard útbrocht (in foarriedige kontrôle die bliken dat it wie net kompromittearre).
De oanfaller pleatste in searje rapporten op GitHub mei details fan 'e oanfal en tips foar it fergrutsjen fan beskerming, mar se waarden wiske. Lykwols, de argyf rapporten .
Bygelyks, de oanfaller melde dat de Matrix-ûntwikkelders moatte twa-faktor autentikaasje of op syn minst net mei SSH-agent-omlieding ("ForwardAgent yes"), dan soe penetraasje yn 'e ynfrastruktuer blokkearre wurde. De eskalaasje fan 'e oanfal koe ek wurde stoppe troch ûntwikkelders allinich de nedige privileezjes te jaan, ynstee fan op alle tsjinners.
Derneist waard de praktyk fan it opslaan fan kaaien foar it meitsjen fan digitale hantekeningen op produksjeservers bekritisearre; in aparte isolearre host soe moatte wurde tawiisd foar sokke doelen. Noch altyd oanfallen , dat as Matrix-ûntwikkelders regelmjittich logs kontroleare en anomalies analysearre hiene, soene se spoaren fan in hack betiid opmurken hawwe (de CI-hack gie in moanne net ûntdutsen). In oar probleem it opslaan fan alle konfiguraasjetriemmen yn Git, wat it mooglik makke om de ynstellingen fan oare hosts te evaluearjen as ien fan har waard hackt. Tagong fia SSH ta ynfrastruktuer tsjinners beheind ta in feilich ynterne netwurk, dat makke it mooglik om te ferbinen mei harren fan alle eksterne adres.
Boarneopennet.ru
[: en]новые oer it hacken fan 'e ynfrastruktuer fan it desintralisearre berjochtenplatfoarm Matrix, oer hokker moarns. De problematyske keppeling wêrmei't de oanfallers penetrearre wie it Jenkins trochgeande yntegraasjesysteem, dat op 13 maart hacked waard. Dan, op 'e Jenkins-tsjinner, waard de oanmelding fan ien fan' e behearders, omlaat troch in SSH-agint, ûnderskept, en op april 4 krigen de oanfallers tagong ta oare ynfrastruktuerservers.
Tidens de twadde oanfal waard de matrix.org-webside omlaat nei in oare server (matrixnotorg.github.io) troch de DNS-parameters te feroarjen, mei de kaai foar it Cloudflare-ynhâldferlieningssysteem API ûnderskept tidens de earste oanfal. By it opbouwen fan 'e ynhâld fan' e servers nei de earste hack, hawwe Matrix-behearders allinich nije persoanlike kaaien bywurke en misse it bywurkjen fan de kaai nei Cloudflare.
Tidens de twadde oanfal bleaunen de Matrix-tsjinners ûnoantaaste; feroarings waarden allinich beheind ta it ferfangen fan adressen yn 'e DNS. As de brûker it wachtwurd al feroare hat nei de earste oanfal, is it net nedich om it in twadde kear te feroarjen. Mar as it wachtwurd noch net feroare is, moat it sa gau mooglik bywurke wurde, om't it lek fan 'e database mei wachtwurdhashes is befêstige. It hjoeddeistige plan is om de folgjende kear as jo ynlogge in twongen proses foar reset fan wachtwurden te begjinnen.
Neist it lek fan wachtwurden is it ek befêstige dat GPG-kaaien dy't brûkt wurde om digitale hantekeningen te generearjen foar pakketten yn 'e Debian Synapse-repository en Riot / Web-releases binne fallen yn' e hannen fan 'e oanfallers. De kaaien wiene wachtwurd beskerme. De kaaien binne op dit stuit al ynlutsen. De kaaien waarden ûnderskept op april 4, sûnt doe binne gjin Synapse updates frijlitten, mar de Riot / Web client 1.0.7 waard útbrocht (in foarriedige kontrôle die bliken dat it wie net kompromittearre).
De oanfaller pleatste in searje rapporten op GitHub mei details fan 'e oanfal en tips foar it fergrutsjen fan beskerming, mar se waarden wiske. Lykwols, de argyf rapporten .
Bygelyks, de oanfaller melde dat de Matrix-ûntwikkelders moatte twa-faktor autentikaasje of op syn minst net mei SSH-agent-omlieding ("ForwardAgent yes"), dan soe penetraasje yn 'e ynfrastruktuer blokkearre wurde. De eskalaasje fan 'e oanfal koe ek wurde stoppe troch ûntwikkelders allinich de nedige privileezjes te jaan, ynstee fan op alle tsjinners.
Derneist waard de praktyk fan it opslaan fan kaaien foar it meitsjen fan digitale hantekeningen op produksjeservers bekritisearre; in aparte isolearre host soe moatte wurde tawiisd foar sokke doelen. Noch altyd oanfallen , dat as Matrix-ûntwikkelders regelmjittich logs kontroleare en anomalies analysearre hiene, soene se spoaren fan in hack betiid opmurken hawwe (de CI-hack gie in moanne net ûntdutsen). In oar probleem it opslaan fan alle konfiguraasjetriemmen yn Git, wat it mooglik makke om de ynstellingen fan oare hosts te evaluearjen as ien fan har waard hackt. Tagong fia SSH ta ynfrastruktuer tsjinners beheind ta in feilich ynterne netwurk, dat makke it mooglik om te ferbinen mei harren fan alle eksterne adres.
Boarne: opennet.ru
[:]