новые sou piratage nan enfrastrikti nan platfòm la desantralize mesaj Matrix, sou ki nan maten. Lyen ki te pwoblematik atakè yo te antre se sistèm entegrasyon kontinyèl Jenkins, ki te rache 13 mas. Lè sa a, sou sèvè Jenkins la, koneksyon youn nan administratè yo, redireksyon pa yon ajan SSH, te entèsepte, ak sou 4 avril, atakè yo te jwenn aksè nan lòt sèvè enfrastrikti.
Pandan dezyèm atak la, sit entènèt matrix.org la te redireksyon sou yon lòt sèvè (matrixnotorg.github.io) lè yo chanje paramèt DNS yo, lè l sèvi avèk kle nan API sistèm livrezon kontni Cloudflare entèsepte pandan premye atak la. Lè yo rebati sa ki nan sèvè yo apre premye Hack a, administratè Matrix sèlman mete ajou nouvo kle pèsonèl yo epi yo rate mete ajou kle nan Cloudflare.
Pandan dezyèm atak la, sèvè Matrix yo te rete intact; chanjman yo te limite sèlman pou ranplase adrès nan DNS la. Si itilizatè a te deja chanje modpas la apre premye atak la, pa gen okenn bezwen chanje li yon dezyèm fwa. Men, si modpas la poko chanje, li bezwen mete ajou pi vit ke posib, depi yon flit nan baz done a ak hache modpas yo te konfime. Plan aktyèl la se kòmanse yon pwosesis reset modpas fòse pwochen fwa ou konekte.
Anplis koule modpas yo, li te konfime tou ke kle GPG yo te itilize pou jenere siyati dijital pou pakè nan depo Debian Synapse ak degaje Riot/Web yo te tonbe nan men atakè yo. Kle yo te pwoteje modpas. Kle yo te deja revoke nan moman sa a. Yo te entèsepte kle yo nan dat 4 avril, depi lè sa a pa gen okenn mizajou Synapse yo te lage, men kliyan Riot/Web 1.0.7 la te lage (yon chèk preliminè te montre ke li pa te konpwomèt).
Atakè a afiche yon seri de rapò sou GitHub ak detay sou atak la ak konsèy pou ogmante pwoteksyon, men yo te efase. Sepandan, rapò achiv yo .
Pou egzanp, atakè a rapòte ke devlopè Matrix yo ta dwe de-faktè otantifikasyon oswa omwen pa itilize SSH ajan redireksyon ("ForwardAgent wi"), Lè sa a, pénétration nan enfrastrikti a ta dwe bloke. Eskalad la nan atak la ta ka sispann tou pa bay devlopè sèlman privilèj ki nesesè yo, olye ke sou tout serveurs.
Anplis de sa, pratik nan estoke kle pou kreye siyati dijital sou sèvè pwodiksyon yo te kritike; yo ta dwe resevwa yon lame izole separe pou rezon sa yo. Toujou atake , ke si devlopè Matrix te regilyèman kontrole mòso bwa ak analize anomali yo, yo ta remake tras nan yon Hack byen bonè nan (rache CI la pa detekte pou yon mwa). Yon lòt pwoblèm estoke tout fichye konfigirasyon nan Git, sa ki te fè li posib pou evalye anviwònman lòt lame si youn nan yo te rache. Aksè atravè SSH nan serveurs enfrastrikti limite a yon rezo entèn ki an sekirite, ki te fè li posib yo konekte ak yo soti nan nenpòt adrès ekstèn.
Sousopennet.ru
[: en]новые sou piratage nan enfrastrikti nan platfòm la desantralize mesaj Matrix, sou ki nan maten. Lyen ki te pwoblematik atakè yo te antre se sistèm entegrasyon kontinyèl Jenkins, ki te rache 13 mas. Lè sa a, sou sèvè Jenkins la, koneksyon youn nan administratè yo, redireksyon pa yon ajan SSH, te entèsepte, ak sou 4 avril, atakè yo te jwenn aksè nan lòt sèvè enfrastrikti.
Pandan dezyèm atak la, sit entènèt matrix.org la te redireksyon sou yon lòt sèvè (matrixnotorg.github.io) lè yo chanje paramèt DNS yo, lè l sèvi avèk kle nan API sistèm livrezon kontni Cloudflare entèsepte pandan premye atak la. Lè yo rebati sa ki nan sèvè yo apre premye Hack a, administratè Matrix sèlman mete ajou nouvo kle pèsonèl yo epi yo rate mete ajou kle nan Cloudflare.
Pandan dezyèm atak la, sèvè Matrix yo te rete intact; chanjman yo te limite sèlman pou ranplase adrès nan DNS la. Si itilizatè a te deja chanje modpas la apre premye atak la, pa gen okenn bezwen chanje li yon dezyèm fwa. Men, si modpas la poko chanje, li bezwen mete ajou pi vit ke posib, depi yon flit nan baz done a ak hache modpas yo te konfime. Plan aktyèl la se kòmanse yon pwosesis reset modpas fòse pwochen fwa ou konekte.
Anplis koule modpas yo, li te konfime tou ke kle GPG yo te itilize pou jenere siyati dijital pou pakè nan depo Debian Synapse ak degaje Riot/Web yo te tonbe nan men atakè yo. Kle yo te pwoteje modpas. Kle yo te deja revoke nan moman sa a. Yo te entèsepte kle yo nan dat 4 avril, depi lè sa a pa gen okenn mizajou Synapse yo te lage, men kliyan Riot/Web 1.0.7 la te lage (yon chèk preliminè te montre ke li pa te konpwomèt).
Atakè a afiche yon seri de rapò sou GitHub ak detay sou atak la ak konsèy pou ogmante pwoteksyon, men yo te efase. Sepandan, rapò achiv yo .
Pou egzanp, atakè a rapòte ke devlopè Matrix yo ta dwe de-faktè otantifikasyon oswa omwen pa itilize SSH ajan redireksyon ("ForwardAgent wi"), Lè sa a, pénétration nan enfrastrikti a ta dwe bloke. Eskalad la nan atak la ta ka sispann tou pa bay devlopè sèlman privilèj ki nesesè yo, olye ke sou tout serveurs.
Anplis de sa, pratik nan estoke kle pou kreye siyati dijital sou sèvè pwodiksyon yo te kritike; yo ta dwe resevwa yon lame izole separe pou rezon sa yo. Toujou atake , ke si devlopè Matrix te regilyèman kontrole mòso bwa ak analize anomali yo, yo ta remake tras nan yon Hack byen bonè nan (rache CI la pa detekte pou yon mwa). Yon lòt pwoblèm estoke tout fichye konfigirasyon nan Git, sa ki te fè li posib pou evalye anviwònman lòt lame si youn nan yo te rache. Aksè atravè SSH nan serveurs enfrastrikti limite a yon rezo entèn ki an sekirite, ki te fè li posib yo konekte ak yo soti nan nenpòt adrès ekstèn.
Sous: opennet.ru
[:]