новые Matrix ապակենտրոնացված հաղորդագրությունների հարթակի ենթակառուցվածքը կոտրելու մասին, որի մասին առավոտյան. Խնդրահարույց օղակը, որով ներթափանցել են հարձակվողները, Ջենքինսի շարունակական ինտեգրացիոն համակարգն էր, որը կոտրվել էր մարտի 13-ին։ Այնուհետև Jenkins սերվերում գաղտնալսվել է ադմինիստրատորներից մեկի մուտքը, որը վերահղվել է SSH գործակալի կողմից, և ապրիլի 4-ին հարձակվողները մուտք են գործել ենթակառուցվածքի այլ սերվերներ։
Երկրորդ հարձակման ժամանակ matrix.org կայքը վերահղվել է մեկ այլ սերվեր (matrixnotorg.github.io)՝ փոխելով DNS-ի պարամետրերը՝ օգտագործելով Cloudflare բովանդակության առաքման համակարգի API-ի բանալին, որը խափանվել է առաջին հարձակման ժամանակ: Առաջին կոտրումից հետո սերվերների բովանդակությունը վերակառուցելիս Matrix-ի ադմինիստրատորները թարմացրել են միայն նոր անձնական բանալիներ և բաց են թողել Cloudflare-ի բանալին թարմացնելը:
Երկրորդ հարձակման ժամանակ Matrix սերվերները մնացին անձեռնմխելի, փոփոխությունները սահմանափակվեցին միայն DNS-ում հասցեների փոխարինմամբ: Եթե օգտատերը առաջին հարձակումից հետո արդեն փոխել է գաղտնաբառը, երկրորդ անգամ այն փոխելու կարիք չկա։ Բայց եթե գաղտնաբառը դեռ չի փոխվել, ապա այն պետք է հնարավորինս շուտ թարմացվի, քանի որ տվյալների բազայի արտահոսքը հաստատվել է գաղտնաբառի հեշերով: Ընթացիկ պլանը հաջորդ անգամ մուտք գործելիս գաղտնաբառի հարկադիր վերակայման գործընթաց սկսելն է:
Ի լրումն գաղտնաբառերի արտահոսքի, հաստատվել է նաև, որ Debian Synapse պահեստի և Riot/Web թողարկումների փաթեթների համար թվային ստորագրություններ ստեղծելու համար օգտագործվող GPG ստեղները հայտնվել են հարձակվողների ձեռքում: Ստեղները պաշտպանված էին գաղտնաբառով: Այս պահին բանալիներն արդեն հետ են կանչվել: Ստեղները գաղտնալսվել են ապրիլի 4-ին, այնուհետև Synapse-ի ոչ մի թարմացում չի թողարկվել, սակայն թողարկվել է Riot/Web հաճախորդը 1.0.7 (նախնական ստուգումը ցույց է տվել, որ այն չի վտանգի ենթարկվել):
Հարձակվողը մի շարք զեկույցներ է տեղադրել GitHub-ում՝ հարձակման մանրամասներով և պաշտպանությունը մեծացնելու խորհուրդներով, սակայն դրանք ջնջվել են: Սակայն արխիվայինը հաղորդում է .
Օրինակ, հարձակվողը հայտնել է, որ Matrix մշակողները պետք է երկու գործոնով նույնականացում կամ առնվազն չօգտագործելով SSH գործակալի վերահղում («ForwardAgent այո»), ապա ներթափանցումը ենթակառուցվածք կարգելափակվի: Հարձակման էսկալացիան կարող է դադարեցվել նաև մշակողներին տալով միայն անհրաժեշտ արտոնություններ, այլ ոչ թե բոլոր սերվերների վրա:
Բացի այդ, քննադատության է ենթարկվել արտադրական սերվերների վրա թվային ստորագրություններ ստեղծելու համար բանալիներ պահելու պրակտիկան, որի համար պետք է հատկացվի առանձին մեկուսացված հոսթ: Դեռ հարձակվում է , որ եթե Matrix-ի ծրագրավորողները կանոնավոր կերպով ստուգեին տեղեկամատյանները և վերլուծեին անոմալիաները, նրանք վաղուց նկատած կլինեին հաքի հետքերը (CI հաքերն աննկատ մնաց մեկ ամիս): Մեկ այլ խնդիր Git-ում բոլոր կազմաձևման ֆայլերը պահելը, ինչը հնարավորություն տվեց գնահատել այլ հոսթների կարգավորումները, եթե դրանցից մեկը կոտրվեր: Մուտք SSH-ի միջոցով ենթակառուցվածքային սերվերներ սահմանափակվում է անվտանգ ներքին ցանցով, ինչը հնարավորություն է տալիս նրանց միանալ ցանկացած արտաքին հասցեից։
Աղբյուրopennet.ru
[En]новые Matrix ապակենտրոնացված հաղորդագրությունների հարթակի ենթակառուցվածքը կոտրելու մասին, որի մասին առավոտյան. Խնդրահարույց օղակը, որով ներթափանցել են հարձակվողները, Ջենքինսի շարունակական ինտեգրացիոն համակարգն էր, որը կոտրվել էր մարտի 13-ին։ Այնուհետև Jenkins սերվերում գաղտնալսվել է ադմինիստրատորներից մեկի մուտքը, որը վերահղվել է SSH գործակալի կողմից, և ապրիլի 4-ին հարձակվողները մուտք են գործել ենթակառուցվածքի այլ սերվերներ։
Երկրորդ հարձակման ժամանակ matrix.org կայքը վերահղվել է մեկ այլ սերվեր (matrixnotorg.github.io)՝ փոխելով DNS-ի պարամետրերը՝ օգտագործելով Cloudflare բովանդակության առաքման համակարգի API-ի բանալին, որը խափանվել է առաջին հարձակման ժամանակ: Առաջին կոտրումից հետո սերվերների բովանդակությունը վերակառուցելիս Matrix-ի ադմինիստրատորները թարմացրել են միայն նոր անձնական բանալիներ և բաց են թողել Cloudflare-ի բանալին թարմացնելը:
Երկրորդ հարձակման ժամանակ Matrix սերվերները մնացին անձեռնմխելի, փոփոխությունները սահմանափակվեցին միայն DNS-ում հասցեների փոխարինմամբ: Եթե օգտատերը առաջին հարձակումից հետո արդեն փոխել է գաղտնաբառը, երկրորդ անգամ այն փոխելու կարիք չկա։ Բայց եթե գաղտնաբառը դեռ չի փոխվել, ապա այն պետք է հնարավորինս շուտ թարմացվի, քանի որ տվյալների բազայի արտահոսքը հաստատվել է գաղտնաբառի հեշերով: Ընթացիկ պլանը հաջորդ անգամ մուտք գործելիս գաղտնաբառի հարկադիր վերակայման գործընթաց սկսելն է:
Ի լրումն գաղտնաբառերի արտահոսքի, հաստատվել է նաև, որ Debian Synapse պահեստի և Riot/Web թողարկումների փաթեթների համար թվային ստորագրություններ ստեղծելու համար օգտագործվող GPG ստեղները հայտնվել են հարձակվողների ձեռքում: Ստեղները պաշտպանված էին գաղտնաբառով: Այս պահին բանալիներն արդեն հետ են կանչվել: Ստեղները գաղտնալսվել են ապրիլի 4-ին, այնուհետև Synapse-ի ոչ մի թարմացում չի թողարկվել, սակայն թողարկվել է Riot/Web հաճախորդը 1.0.7 (նախնական ստուգումը ցույց է տվել, որ այն չի վտանգի ենթարկվել):
Հարձակվողը մի շարք զեկույցներ է տեղադրել GitHub-ում՝ հարձակման մանրամասներով և պաշտպանությունը մեծացնելու խորհուրդներով, սակայն դրանք ջնջվել են: Սակայն արխիվայինը հաղորդում է .
Օրինակ, հարձակվողը հայտնել է, որ Matrix մշակողները պետք է երկու գործոնով նույնականացում կամ առնվազն չօգտագործելով SSH գործակալի վերահղում («ForwardAgent այո»), ապա ներթափանցումը ենթակառուցվածք կարգելափակվի: Հարձակման էսկալացիան կարող է դադարեցվել նաև մշակողներին տալով միայն անհրաժեշտ արտոնություններ, այլ ոչ թե բոլոր սերվերների վրա:
Բացի այդ, քննադատության է ենթարկվել արտադրական սերվերների վրա թվային ստորագրություններ ստեղծելու համար բանալիներ պահելու պրակտիկան, որի համար պետք է հատկացվի առանձին մեկուսացված հոսթ: Դեռ հարձակվում է , որ եթե Matrix-ի ծրագրավորողները կանոնավոր կերպով ստուգեին տեղեկամատյանները և վերլուծեին անոմալիաները, նրանք վաղուց նկատած կլինեին հաքի հետքերը (CI հաքերն աննկատ մնաց մեկ ամիս): Մեկ այլ խնդիր Git-ում բոլոր կազմաձևման ֆայլերը պահելը, ինչը հնարավորություն տվեց գնահատել այլ հոսթների կարգավորումները, եթե դրանցից մեկը կոտրվեր: Մուտք SSH-ի միջոցով ենթակառուցվածքային սերվերներ սահմանափակվում է անվտանգ ներքին ցանցով, ինչը հնարավորություն է տալիս նրանց միանալ ցանկացած արտաքին հասցեից։
Source: opennet.ru
[:]