новые sobre o hackeo da infraestrutura da plataforma de mensaxería descentralizada Matrix, sobre o que pola mañá. O vínculo problemático polo que penetraron os atacantes foi o sistema de integración continua de Jenkins, que foi pirateado o 13 de marzo. Entón, no servidor Jenkins, interceptouse o inicio de sesión dun dos administradores, redirixido por un axente SSH, e o 4 de abril os atacantes accederon a outros servidores de infraestrutura.
Durante o segundo ataque, o sitio web de matrix.org foi redirixido a outro servidor (matrixnotorg.github.io) cambiando os parámetros DNS, utilizando a clave da API do sistema de entrega de contido de Cloudflare interceptada durante o primeiro ataque. Ao reconstruír o contido dos servidores despois do primeiro hackeo, os administradores de Matrix só actualizaron novas claves persoais e perderon a actualización da chave de Cloudflare.
Durante o segundo ataque, os servidores de Matrix permaneceron intactos; os cambios limitáronse só a substituír enderezos no DNS. Se o usuario xa cambiou o contrasinal despois do primeiro ataque, non é necesario cambialo unha segunda vez. Pero se aínda non se cambiou o contrasinal, cómpre actualizalo canto antes, xa que se confirmou a fuga da base de datos con hash de contrasinal. O plan actual é iniciar un proceso de restablecemento forzado do contrasinal a próxima vez que inicie sesión.
Ademais da filtración de contrasinais, tamén se confirmou que as claves GPG utilizadas para xerar sinaturas dixitais para paquetes no repositorio de Debian Synapse e as versións Riot/Web caeron en mans dos atacantes. As chaves estaban protexidas por contrasinal. As chaves xa foron revogadas neste momento. As claves foron interceptadas o 4 de abril, desde entón non se publicaron actualizacións de Synapse, pero lanzouse o cliente Riot/Web 1.0.7 (unha comprobación preliminar mostrou que non estaba comprometido).
O atacante publicou unha serie de informes en GitHub con detalles do ataque e consellos para aumentar a protección, pero elimináronse. Non obstante, os informes arquivados .
Por exemplo, o atacante informou de que os desenvolvedores de Matrix deberían autenticación de dous factores ou polo menos non usar a redirección do axente SSH ("ForwardAgent si"), entón bloquearíase a penetración na infraestrutura. A escalada do ataque tamén podería deterse dándolles aos desenvolvedores só os privilexios necesarios, en lugar de en todos os servidores.
Ademais, criticouse a práctica de almacenar claves para crear sinaturas dixitais en servidores de produción; para tales fins debería asignarse un host illado separado. Aínda atacando , que se os desenvolvedores de Matrix tivesen auditado regularmente os rexistros e analizados anomalías, notarían rastros dun hackeo desde o principio (o hack de CI non foi detectado durante un mes). Outro problema almacenando todos os ficheiros de configuración en Git, o que permitiu avaliar a configuración doutros hosts se un deles foi pirateado. Acceso vía SSH a servidores de infraestrutura limitado a unha rede interna segura, que permitía conectarse a eles desde calquera enderezo externo.
Orixeopennet.ru
[: gl]новые sobre o hackeo da infraestrutura da plataforma de mensaxería descentralizada Matrix, sobre o que pola mañá. O vínculo problemático polo que penetraron os atacantes foi o sistema de integración continua de Jenkins, que foi pirateado o 13 de marzo. Entón, no servidor Jenkins, interceptouse o inicio de sesión dun dos administradores, redirixido por un axente SSH, e o 4 de abril os atacantes accederon a outros servidores de infraestrutura.
Durante o segundo ataque, o sitio web de matrix.org foi redirixido a outro servidor (matrixnotorg.github.io) cambiando os parámetros DNS, utilizando a clave da API do sistema de entrega de contido de Cloudflare interceptada durante o primeiro ataque. Ao reconstruír o contido dos servidores despois do primeiro hackeo, os administradores de Matrix só actualizaron novas claves persoais e perderon a actualización da chave de Cloudflare.
Durante o segundo ataque, os servidores de Matrix permaneceron intactos; os cambios limitáronse só a substituír enderezos no DNS. Se o usuario xa cambiou o contrasinal despois do primeiro ataque, non é necesario cambialo unha segunda vez. Pero se aínda non se cambiou o contrasinal, cómpre actualizalo canto antes, xa que se confirmou a fuga da base de datos con hash de contrasinal. O plan actual é iniciar un proceso de restablecemento forzado do contrasinal a próxima vez que inicie sesión.
Ademais da filtración de contrasinais, tamén se confirmou que as claves GPG utilizadas para xerar sinaturas dixitais para paquetes no repositorio de Debian Synapse e as versións Riot/Web caeron en mans dos atacantes. As chaves estaban protexidas por contrasinal. As chaves xa foron revogadas neste momento. As claves foron interceptadas o 4 de abril, desde entón non se publicaron actualizacións de Synapse, pero lanzouse o cliente Riot/Web 1.0.7 (unha comprobación preliminar mostrou que non estaba comprometido).
O atacante publicou unha serie de informes en GitHub con detalles do ataque e consellos para aumentar a protección, pero elimináronse. Non obstante, os informes arquivados .
Por exemplo, o atacante informou de que os desenvolvedores de Matrix deberían autenticación de dous factores ou polo menos non usar a redirección do axente SSH ("ForwardAgent si"), entón bloquearíase a penetración na infraestrutura. A escalada do ataque tamén podería deterse dándolles aos desenvolvedores só os privilexios necesarios, en lugar de en todos os servidores.
Ademais, criticouse a práctica de almacenar claves para crear sinaturas dixitais en servidores de produción; para tales fins debería asignarse un host illado separado. Aínda atacando , que se os desenvolvedores de Matrix tivesen auditado regularmente os rexistros e analizados anomalías, notarían rastros dun hackeo desde o principio (o hack de CI non foi detectado durante un mes). Outro problema almacenando todos os ficheiros de configuración en Git, o que permitiu avaliar a configuración doutros hosts se un deles foi pirateado. Acceso vía SSH a servidores de infraestrutura limitado a unha rede interna segura, que permitía conectarse a eles desde calquera enderezo externo.
Fonte: opennet.ru
[:]