новые o hakiranju infrastrukture platforme za decentraliziranu razmjenu poruka Matrix, o čemu ujutro. Problematična karika preko koje su napadači prodrli bio je sustav kontinuirane integracije Jenkins koji je hakiran 13. ožujka. Tada je na poslužitelju s Jenkinsom presretnuta prijava jednog od administratora koju je preusmjerio SSH agent, a 4. travnja napadači su dobili pristup drugim infrastrukturnim poslužiteljima.
Tijekom drugog napada, web stranica matrix.org preusmjerena je na drugi poslužitelj (matrixnotorg.github.io) promjenom DNS postavki, koristeći ključ API sustava za isporuku sadržaja Cloudflare koji je presretnut tijekom prvog napada. Prilikom ponovne izgradnje sadržaja poslužitelja nakon prvog hakiranja, administratori Matrixa ažurirali su samo nove osobne ključeve i propustili ažurirati ključ na Cloudflare.
Tijekom drugog napada Matrix poslužitelji su ostali netaknuti, promjene su bile ograničene samo na zamjenu adresa u DNS-u. Ako je korisnik već promijenio lozinku nakon prvog napada, nema potrebe mijenjati je drugi put. Ali ako lozinka još nije promijenjena, treba je ažurirati što je prije moguće, budući da je potvrđeno curenje baze podataka s hashovima zaporki. Trenutačno planiramo forsirati proces resetiranja lozinke pri sljedećoj prijavi.
Osim curenja lozinke, također je potvrđeno da su GPG ključevi korišteni za generiranje digitalnih potpisa za pakete u Debian Synapse repozitoriju i Riot/Web izdanjima pali u ruke napadača. Ključevi su bili zaštićeni lozinkom. Trenutno su ključevi već povučeni. Ključevi su presretnuti 4. travnja, od tada nisu objavljena ažuriranja Synapsea, ali je bilo izdanje klijenta Riot/Web 1.0.7 (preliminarna provjera pokazala je da nije bio ugrožen).
Napadač je na GitHubu objavio niz izvješća s detaljima napada i savjetima za povećanje zaštite, no oni su uklonjeni. Međutim, arhivirana izvješća .
Na primjer, kreker je izvijestio da su programeri Matrixa trebali imati dvofaktorsku autentifikaciju ili barem ne korištenje preusmjeravanja SSH agenta (“ForwardAgent yes”), tada bi prodor u infrastrukturu bio blokiran. Eskalacija napada također bi se mogla zaustaviti davanjem programerima samo potrebnih privilegija, umjesto na svim serverima.
Dodatno, kritizirana je praksa pohranjivanja ključeva za izradu digitalnih potpisa na produkcijske poslužitelje, za koje bi trebalo dodijeliti zasebno izolirano računalo. I dalje napada da bi programeri Matrixa redovito revidirali zapise i analizirali anomalije, primijetili bi tragove hakiranja u ranoj fazi (CI hakiranje je prošlo nezapaženo cijeli mjesec). Drugi problem pohranjivanje svih konfiguracijskih datoteka u Git, što je omogućilo procjenu postavki drugih hostova kada je jedno od njih bilo hakirano. SSH pristup infrastrukturnim poslužiteljima ograničeni na sigurnu internu mrežu, koja vam je omogućila da se na njih povežete s bilo koje vanjske adrese.
Источникopennet.ru
[En]новые o hakiranju infrastrukture platforme za decentraliziranu razmjenu poruka Matrix, o čemu ujutro. Problematična karika preko koje su napadači prodrli bio je sustav kontinuirane integracije Jenkins koji je hakiran 13. ožujka. Tada je na poslužitelju s Jenkinsom presretnuta prijava jednog od administratora koju je preusmjerio SSH agent, a 4. travnja napadači su dobili pristup drugim infrastrukturnim poslužiteljima.
Tijekom drugog napada, web stranica matrix.org preusmjerena je na drugi poslužitelj (matrixnotorg.github.io) promjenom DNS postavki, koristeći ključ API sustava za isporuku sadržaja Cloudflare koji je presretnut tijekom prvog napada. Prilikom ponovne izgradnje sadržaja poslužitelja nakon prvog hakiranja, administratori Matrixa ažurirali su samo nove osobne ključeve i propustili ažurirati ključ na Cloudflare.
Tijekom drugog napada Matrix poslužitelji su ostali netaknuti, promjene su bile ograničene samo na zamjenu adresa u DNS-u. Ako je korisnik već promijenio lozinku nakon prvog napada, nema potrebe mijenjati je drugi put. Ali ako lozinka još nije promijenjena, treba je ažurirati što je prije moguće, budući da je potvrđeno curenje baze podataka s hashovima zaporki. Trenutačno planiramo forsirati proces resetiranja lozinke pri sljedećoj prijavi.
Osim curenja lozinke, također je potvrđeno da su GPG ključevi korišteni za generiranje digitalnih potpisa za pakete u Debian Synapse repozitoriju i Riot/Web izdanjima pali u ruke napadača. Ključevi su bili zaštićeni lozinkom. Trenutno su ključevi već povučeni. Ključevi su presretnuti 4. travnja, od tada nisu objavljena ažuriranja Synapsea, ali je bilo izdanje klijenta Riot/Web 1.0.7 (preliminarna provjera pokazala je da nije bio ugrožen).
Napadač je na GitHubu objavio niz izvješća s detaljima napada i savjetima za povećanje zaštite, no oni su uklonjeni. Međutim, arhivirana izvješća .
Na primjer, kreker je izvijestio da su programeri Matrixa trebali imati dvofaktorsku autentifikaciju ili barem ne korištenje preusmjeravanja SSH agenta (“ForwardAgent yes”), tada bi prodor u infrastrukturu bio blokiran. Eskalacija napada također bi se mogla zaustaviti davanjem programerima samo potrebnih privilegija, umjesto na svim serverima.
Dodatno, kritizirana je praksa pohranjivanja ključeva za izradu digitalnih potpisa na produkcijske poslužitelje, za koje bi trebalo dodijeliti zasebno izolirano računalo. I dalje napada da bi programeri Matrixa redovito revidirali zapise i analizirali anomalije, primijetili bi tragove hakiranja u ranoj fazi (CI hakiranje je prošlo nezapaženo cijeli mjesec). Drugi problem pohranjivanje svih konfiguracijskih datoteka u Git, što je omogućilo procjenu postavki drugih hostova kada je jedno od njih bilo hakirano. SSH pristup infrastrukturnim poslužiteljima ograničeni na sigurnu internu mrežu, koja vam je omogućila da se na njih povežete s bilo koje vanjske adrese.
Izvor: opennet.ru
[:]