новые faoi hacking bhonneagar an ardán teachtaireachtaí díláraithe Maitrís, mar gheall ar ar maidin. Ba é an nasc fadhbach trína ndeachaigh na hionsaitheoirí isteach ná córas comhtháthú leanúnach Jenkins, a hackáil ar 13 Márta. Ansin, ar fhreastalaí Jenkins, rinneadh logáil isteach ceann de na riarthóirí, arna atreorú ag gníomhaire SSH, a idircheapadh, agus ar 4 Aibreán, fuair na hionsaitheoirí rochtain ar fhreastalaithe bonneagair eile.
Le linn an dara ionsaí, atreoraíodh láithreán gréasáin matrix.org chuig freastalaí eile (matrixnotorg.github.io) trí na paraiméadair DNS a athrú, ag baint úsáide as an eochair do chóras seachadta ábhar Cloudflare API a idircheapadh le linn an chéad ionsaí. Agus inneachar na bhfreastalaithe á atógáil tar éis an chéad hack, níor nuashonraigh riarthóirí Maitrís ach eochracha pearsanta nua agus níor éirigh leo an eochair do Cloudflare a nuashonrú.
Le linn an dara ionsaí, níor tháinig aon teagmháil leis na freastalaithe Maitrís; ní raibh na hathruithe teoranta ach amháin chun seoltaí a athsholáthar sa DNS. Má d'athraigh an t-úsáideoir an focal faire cheana féin tar éis an chéad ionsaí, ní gá é a athrú an dara huair. Ach mura bhfuil an focal faire athraithe fós, ní mór é a nuashonrú chomh luath agus is féidir, ós rud é go bhfuil sceitheadh an bhunachair shonraí le hashes pasfhocail deimhnithe. Is é an plean reatha ná tús a chur le próiseas éigeantach um athshocrú pasfhocail an chéad uair eile a logálann tú isteach.
Chomh maith leis an sceitheadh pasfhocail, tá sé deimhnithe freisin go bhfuil eochracha GPG a úsáidtear chun sínithe digiteacha a ghiniúint do phacáistí i stór Debian Synapse agus eisiúintí Riot/Web tar éis titim isteach i lámha na n-ionsaitheoirí. Bhí na heochracha cosanta ag pasfhocal. Tá na heochracha cúlghairthe cheana féin ag an am seo. Idircheapadh na heochracha ar 4 Aibreán, ó shin i leith níor scaoileadh aon nuashonruithe Synapse, ach scaoileadh an cliant Riot/Web 1.0.7 (léirigh réamhsheiceáil nach raibh sé i gcontúirt).
Chuir an t-ionsaitheoir sraith tuarascálacha ar GitHub le sonraí faoin ionsaí agus leideanna chun cosaint a mhéadú, ach scriosadh iad. Mar sin féin, na tuarascálacha gcartlann .
Mar shampla, thuairiscigh an t-ionsaitheoir gur chóir d'fhorbróirí Maitrís fíordheimhniú dhá fhachtóir nó ar a laghad gan úsáid a bhaint as atreorú gníomhaire SSH (“ForwardAgent yes”), ansin chuirfí bac ar dhul isteach sa bhonneagar. D'fhéadfaí an t-ionsaí a ghéarú a stopadh freisin ach na pribhléidí riachtanacha a thabhairt d'fhorbróirí, seachas ar gach freastalaithe.
Ina theannta sin, cáineadh an cleachtas eochracha a stóráil chun sínithe digiteacha a chruthú ar fhreastalaithe táirgeachta; ba cheart óstach ar leith a leithdháileadh chun críocha dá leithéid. Fós ag ionsaí , más rud é go ndearna forbróirí Maitrís iniúchadh rialta ar logaí agus anailís a dhéanamh ar aimhrialtachtaí, bheadh rianta haca tugtha faoi deara acu go luath (ní raibh an hack CI faoi deara ar feadh míosa). Fadhb eile gach comhad cumraíochta a stóráil i Git, rud a d'fhág gur féidir socruithe óstaigh eile a mheas dá ndéanfaí ceann acu a hackáil. Rochtain trí SSH ar fhreastalaithe bonneagair teoranta do líonra inmheánach slán, rud a d'fhág gur féidir nascadh leo ó aon seoladh seachtrach.
Foinseoscailtenet.ru
[En]новые faoi hacking bhonneagar an ardán teachtaireachtaí díláraithe Maitrís, mar gheall ar ar maidin. Ba é an nasc fadhbach trína ndeachaigh na hionsaitheoirí isteach ná córas comhtháthú leanúnach Jenkins, a hackáil ar 13 Márta. Ansin, ar fhreastalaí Jenkins, rinneadh logáil isteach ceann de na riarthóirí, arna atreorú ag gníomhaire SSH, a idircheapadh, agus ar 4 Aibreán, fuair na hionsaitheoirí rochtain ar fhreastalaithe bonneagair eile.
Le linn an dara ionsaí, atreoraíodh láithreán gréasáin matrix.org chuig freastalaí eile (matrixnotorg.github.io) trí na paraiméadair DNS a athrú, ag baint úsáide as an eochair do chóras seachadta ábhar Cloudflare API a idircheapadh le linn an chéad ionsaí. Agus inneachar na bhfreastalaithe á atógáil tar éis an chéad hack, níor nuashonraigh riarthóirí Maitrís ach eochracha pearsanta nua agus níor éirigh leo an eochair do Cloudflare a nuashonrú.
Le linn an dara ionsaí, níor tháinig aon teagmháil leis na freastalaithe Maitrís; ní raibh na hathruithe teoranta ach amháin chun seoltaí a athsholáthar sa DNS. Má d'athraigh an t-úsáideoir an focal faire cheana féin tar éis an chéad ionsaí, ní gá é a athrú an dara huair. Ach mura bhfuil an focal faire athraithe fós, ní mór é a nuashonrú chomh luath agus is féidir, ós rud é go bhfuil sceitheadh an bhunachair shonraí le hashes pasfhocail deimhnithe. Is é an plean reatha ná tús a chur le próiseas éigeantach um athshocrú pasfhocail an chéad uair eile a logálann tú isteach.
Chomh maith leis an sceitheadh pasfhocail, tá sé deimhnithe freisin go bhfuil eochracha GPG a úsáidtear chun sínithe digiteacha a ghiniúint do phacáistí i stór Debian Synapse agus eisiúintí Riot/Web tar éis titim isteach i lámha na n-ionsaitheoirí. Bhí na heochracha cosanta ag pasfhocal. Tá na heochracha cúlghairthe cheana féin ag an am seo. Idircheapadh na heochracha ar 4 Aibreán, ó shin i leith níor scaoileadh aon nuashonruithe Synapse, ach scaoileadh an cliant Riot/Web 1.0.7 (léirigh réamhsheiceáil nach raibh sé i gcontúirt).
Chuir an t-ionsaitheoir sraith tuarascálacha ar GitHub le sonraí faoin ionsaí agus leideanna chun cosaint a mhéadú, ach scriosadh iad. Mar sin féin, na tuarascálacha gcartlann .
Mar shampla, thuairiscigh an t-ionsaitheoir gur chóir d'fhorbróirí Maitrís fíordheimhniú dhá fhachtóir nó ar a laghad gan úsáid a bhaint as atreorú gníomhaire SSH (“ForwardAgent yes”), ansin chuirfí bac ar dhul isteach sa bhonneagar. D'fhéadfaí an t-ionsaí a ghéarú a stopadh freisin ach na pribhléidí riachtanacha a thabhairt d'fhorbróirí, seachas ar gach freastalaithe.
Ina theannta sin, cáineadh an cleachtas eochracha a stóráil chun sínithe digiteacha a chruthú ar fhreastalaithe táirgeachta; ba cheart óstach ar leith a leithdháileadh chun críocha dá leithéid. Fós ag ionsaí , más rud é go ndearna forbróirí Maitrís iniúchadh rialta ar logaí agus anailís a dhéanamh ar aimhrialtachtaí, bheadh rianta haca tugtha faoi deara acu go luath (ní raibh an hack CI faoi deara ar feadh míosa). Fadhb eile gach comhad cumraíochta a stóráil i Git, rud a d'fhág gur féidir socruithe óstaigh eile a mheas dá ndéanfaí ceann acu a hackáil. Rochtain trí SSH ar fhreastalaithe bonneagair teoranta do líonra inmheánach slán, rud a d'fhág gur féidir nascadh leo ó aon seoladh seachtrach.
Foinse: oscailtenet.ru
[:]