Π½ΠΎΠ²ΡΠ΅ tentang peretasan infrastruktur platform perpesanan terdesentralisasi Matrix, tentang hal itu di pagi hari. Tautan bermasalah yang ditembus penyerang adalah sistem integrasi berkelanjutan Jenkins, yang diretas pada 13 Maret. Kemudian, di server Jenkins, login salah satu administrator, yang dialihkan oleh agen SSH, dicegat, dan pada tanggal 4 April, penyerang memperoleh akses ke server infrastruktur lainnya.
Selama serangan kedua, situs web Matrix.org dialihkan ke server lain (matrixnotorg.github.io) dengan mengubah parameter DNS, menggunakan kunci API sistem pengiriman konten Cloudflare yang dicegat selama serangan pertama. Saat membangun kembali konten server setelah peretasan pertama, administrator Matrix hanya memperbarui kunci pribadi baru dan melewatkan pembaruan kunci ke Cloudflare.
Selama serangan kedua, server Matrix tetap tidak tersentuh; perubahan hanya terbatas pada penggantian alamat di DNS. Jika pengguna telah mengubah kata sandi setelah serangan pertama, maka tidak perlu mengubahnya untuk kedua kalinya. Namun jika password belum diubah, maka perlu diupdate secepatnya, karena kebocoran database dengan hash password telah terkonfirmasi. Rencana saat ini adalah memulai proses pengaturan ulang kata sandi paksa saat Anda masuk lagi.
Selain kebocoran kata sandi, juga telah dipastikan bahwa kunci GPG yang digunakan untuk menghasilkan tanda tangan digital untuk paket di repositori Debian Synapse dan rilis Riot/Web telah jatuh ke tangan para penyerang. Kuncinya dilindungi kata sandi. Kuncinya telah dicabut saat ini. Kunci tersebut disadap pada tanggal 4 April, sejak saat itu tidak ada pembaruan Synapse yang dirilis, namun klien Riot/Web 1.0.7 dirilis (pemeriksaan awal menunjukkan bahwa kunci tersebut tidak disusupi).
Penyerang memposting serangkaian laporan di GitHub dengan rincian serangan dan tip untuk meningkatkan perlindungan, tetapi laporan tersebut telah dihapus. Namun, laporan yang diarsipkan .
Misalnya, penyerang melaporkan bahwa pengembang Matrix harus melakukannya otentikasi dua faktor atau setidaknya tidak menggunakan pengalihan agen SSH (βForwardAgent yesβ), maka penetrasi ke dalam infrastruktur akan diblokir. Peningkatan serangan juga dapat dihentikan dengan hanya memberikan hak istimewa yang diperlukan kepada pengembang di semua server.
Selain itu, praktik penyimpanan kunci untuk membuat tanda tangan digital di server produksi juga dikritik; host terpisah yang terisolasi harus dialokasikan untuk tujuan tersebut. Masih menyerang , bahwa jika pengembang Matrix secara teratur mengaudit log dan menganalisis anomali, mereka akan melihat jejak peretasan sejak dini (peretasan CI tidak terdeteksi selama sebulan). Masalah lain menyimpan semua file konfigurasi di Git, yang memungkinkan untuk mengevaluasi pengaturan host lain jika salah satunya diretas. Akses melalui SSH ke server infrastruktur terbatas pada jaringan internal yang aman, yang memungkinkan untuk terhubung ke jaringan tersebut dari alamat eksternal mana pun.
ΠΡΡΠΎΡΠ½ΠΈΠΊopennet.ru
[: En]Π½ΠΎΠ²ΡΠ΅ tentang peretasan infrastruktur platform perpesanan terdesentralisasi Matrix, tentang hal itu di pagi hari. Tautan bermasalah yang ditembus penyerang adalah sistem integrasi berkelanjutan Jenkins, yang diretas pada 13 Maret. Kemudian, di server Jenkins, login salah satu administrator, yang dialihkan oleh agen SSH, dicegat, dan pada tanggal 4 April, penyerang memperoleh akses ke server infrastruktur lainnya.
Selama serangan kedua, situs web Matrix.org dialihkan ke server lain (matrixnotorg.github.io) dengan mengubah parameter DNS, menggunakan kunci API sistem pengiriman konten Cloudflare yang dicegat selama serangan pertama. Saat membangun kembali konten server setelah peretasan pertama, administrator Matrix hanya memperbarui kunci pribadi baru dan melewatkan pembaruan kunci ke Cloudflare.
Selama serangan kedua, server Matrix tetap tidak tersentuh; perubahan hanya terbatas pada penggantian alamat di DNS. Jika pengguna telah mengubah kata sandi setelah serangan pertama, maka tidak perlu mengubahnya untuk kedua kalinya. Namun jika password belum diubah, maka perlu diupdate secepatnya, karena kebocoran database dengan hash password telah terkonfirmasi. Rencana saat ini adalah memulai proses pengaturan ulang kata sandi paksa saat Anda masuk lagi.
Selain kebocoran kata sandi, juga telah dipastikan bahwa kunci GPG yang digunakan untuk menghasilkan tanda tangan digital untuk paket di repositori Debian Synapse dan rilis Riot/Web telah jatuh ke tangan para penyerang. Kuncinya dilindungi kata sandi. Kuncinya telah dicabut saat ini. Kunci tersebut disadap pada tanggal 4 April, sejak saat itu tidak ada pembaruan Synapse yang dirilis, namun klien Riot/Web 1.0.7 dirilis (pemeriksaan awal menunjukkan bahwa kunci tersebut tidak disusupi).
Penyerang memposting serangkaian laporan di GitHub dengan rincian serangan dan tip untuk meningkatkan perlindungan, tetapi laporan tersebut telah dihapus. Namun, laporan yang diarsipkan .
Misalnya, penyerang melaporkan bahwa pengembang Matrix harus melakukannya otentikasi dua faktor atau setidaknya tidak menggunakan pengalihan agen SSH (βForwardAgent yesβ), maka penetrasi ke dalam infrastruktur akan diblokir. Peningkatan serangan juga dapat dihentikan dengan hanya memberikan hak istimewa yang diperlukan kepada pengembang di semua server.
Selain itu, praktik penyimpanan kunci untuk membuat tanda tangan digital di server produksi juga dikritik; host terpisah yang terisolasi harus dialokasikan untuk tujuan tersebut. Masih menyerang , bahwa jika pengembang Matrix secara teratur mengaudit log dan menganalisis anomali, mereka akan melihat jejak peretasan sejak dini (peretasan CI tidak terdeteksi selama sebulan). Masalah lain menyimpan semua file konfigurasi di Git, yang memungkinkan untuk mengevaluasi pengaturan host lain jika salah satunya diretas. Akses melalui SSH ke server infrastruktur terbatas pada jaringan internal yang aman, yang memungkinkan untuk terhubung ke jaringan tersebut dari alamat eksternal mana pun.
Sumber: opennet.ru
[:]