новые um innbrot á innviði hins dreifða skilaboðakerfis Matrix, um það á morgnana. Vandræðalega hlekkurinn sem árásarmennirnir komust í gegnum var Jenkins samfellda samþættingarkerfið, sem var brotist inn 13. mars. Síðan, á Jenkins þjóninum, var innskráning eins stjórnandans, sem var vísað af SSH umboðsmanni, hleruð og 4. apríl fengu árásarmennirnir aðgang að öðrum innviðaþjónum.
Í seinni árásinni var matrix.org vefsíðunni vísað á annan netþjón (matrixnotorg.github.io) með því að breyta DNS breytum, með því að nota lykilinn að Cloudflare efnisafhendingarkerfi API sem var hlerað í fyrstu árásinni. Þegar innihald netþjónanna var endurbyggt eftir fyrsta hakkið uppfærðu Matrix stjórnendur aðeins nýja persónulega lykla og misstu af því að uppfæra lykilinn í Cloudflare.
Í seinni árásinni voru Matrix netþjónarnir ósnertir; breytingar voru takmarkaðar við að skipta um vistföng í DNS. Ef notandinn hefur þegar breytt lykilorðinu eftir fyrstu árásina er engin þörf á að breyta því í annað sinn. En ef lykilorðinu hefur ekki enn verið breytt þarf að uppfæra það eins fljótt og auðið er, þar sem leki gagnagrunnsins með lykilorðahass hefur verið staðfest. Núverandi áætlun er að hefja þvingað endurstillingarferli næst þegar þú skráir þig inn.
Til viðbótar við leka lykilorða hefur einnig verið staðfest að GPG lyklar sem notaðir eru til að búa til stafrænar undirskriftir fyrir pakka í Debian Synapse geymslunni og Riot/Web útgáfur hafa fallið í hendur árásarmannanna. Lyklarnir voru varðir með lykilorði. Lyklarnir hafa þegar verið afturkallaðir á þessum tíma. Lyklarnir voru hleraðir 4. apríl, síðan þá hafa engar Synapse uppfærslur verið gefnar út, en Riot/Web biðlarinn 1.0.7 var gefinn út (bráðabirgðaathugun sýndi að hann var ekki í hættu).
Árásarmaðurinn birti röð skýrslna á GitHub með upplýsingum um árásina og ábendingar til að auka vernd, en þeim var eytt. Hins vegar er geymt skýrslur .
Til dæmis tilkynnti árásarmaðurinn að Matrix verktaki ætti tveggja þátta auðkenningu eða að minnsta kosti ekki með því að nota SSH umboðsframsendingu ("ForwardAgent já"), þá yrði lokað fyrir innkomu inn í innviðina. Einnig væri hægt að stöðva aukningu árásarinnar með því að veita forriturum aðeins nauðsynleg réttindi, frekar en á öllum netþjónum.
Að auki var sú venja að geyma lykla til að búa til stafrænar undirskriftir á framleiðsluþjónum gagnrýnd; úthluta ætti sérstökum einangruðum hýsil í slíkum tilgangi. Enn árásir , að ef Matrix forritarar hefðu reglulega endurskoðað annála og greint frávik, þá hefðu þeir tekið eftir sporum eftir hakk snemma (CI-hakkið var ógreint í mánuð). Annað vandamál geymir allar stillingarskrár í Git, sem gerði það mögulegt að meta stillingar annarra véla ef brotist var inn á einn þeirra. Aðgangur í gegnum SSH að innviðaþjónum takmarkað við öruggt innra net, sem gerði það mögulegt að tengjast þeim frá hvaða ytri netfangi sem er.
Sourceopennet.ru
[: en]новые um innbrot á innviði hins dreifða skilaboðakerfis Matrix, um það á morgnana. Vandræðalega hlekkurinn sem árásarmennirnir komust í gegnum var Jenkins samfellda samþættingarkerfið, sem var brotist inn 13. mars. Síðan, á Jenkins þjóninum, var innskráning eins stjórnandans, sem var vísað af SSH umboðsmanni, hleruð og 4. apríl fengu árásarmennirnir aðgang að öðrum innviðaþjónum.
Í seinni árásinni var matrix.org vefsíðunni vísað á annan netþjón (matrixnotorg.github.io) með því að breyta DNS breytum, með því að nota lykilinn að Cloudflare efnisafhendingarkerfi API sem var hlerað í fyrstu árásinni. Þegar innihald netþjónanna var endurbyggt eftir fyrsta hakkið uppfærðu Matrix stjórnendur aðeins nýja persónulega lykla og misstu af því að uppfæra lykilinn í Cloudflare.
Í seinni árásinni voru Matrix netþjónarnir ósnertir; breytingar voru takmarkaðar við að skipta um vistföng í DNS. Ef notandinn hefur þegar breytt lykilorðinu eftir fyrstu árásina er engin þörf á að breyta því í annað sinn. En ef lykilorðinu hefur ekki enn verið breytt þarf að uppfæra það eins fljótt og auðið er, þar sem leki gagnagrunnsins með lykilorðahass hefur verið staðfest. Núverandi áætlun er að hefja þvingað endurstillingarferli næst þegar þú skráir þig inn.
Til viðbótar við leka lykilorða hefur einnig verið staðfest að GPG lyklar sem notaðir eru til að búa til stafrænar undirskriftir fyrir pakka í Debian Synapse geymslunni og Riot/Web útgáfur hafa fallið í hendur árásarmannanna. Lyklarnir voru varðir með lykilorði. Lyklarnir hafa þegar verið afturkallaðir á þessum tíma. Lyklarnir voru hleraðir 4. apríl, síðan þá hafa engar Synapse uppfærslur verið gefnar út, en Riot/Web biðlarinn 1.0.7 var gefinn út (bráðabirgðaathugun sýndi að hann var ekki í hættu).
Árásarmaðurinn birti röð skýrslna á GitHub með upplýsingum um árásina og ábendingar til að auka vernd, en þeim var eytt. Hins vegar er geymt skýrslur .
Til dæmis tilkynnti árásarmaðurinn að Matrix verktaki ætti tveggja þátta auðkenningu eða að minnsta kosti ekki með því að nota SSH umboðsframsendingu ("ForwardAgent já"), þá yrði lokað fyrir innkomu inn í innviðina. Einnig væri hægt að stöðva aukningu árásarinnar með því að veita forriturum aðeins nauðsynleg réttindi, frekar en á öllum netþjónum.
Að auki var sú venja að geyma lykla til að búa til stafrænar undirskriftir á framleiðsluþjónum gagnrýnd; úthluta ætti sérstökum einangruðum hýsil í slíkum tilgangi. Enn árásir , að ef Matrix forritarar hefðu reglulega endurskoðað annála og greint frávik, þá hefðu þeir tekið eftir sporum eftir hakk snemma (CI-hakkið var ógreint í mánuð). Annað vandamál geymir allar stillingarskrár í Git, sem gerði það mögulegt að meta stillingar annarra véla ef brotist var inn á einn þeirra. Aðgangur í gegnum SSH að innviðaþjónum takmarkað við öruggt innra net, sem gerði það mögulegt að tengjast þeim frá hvaða ytri netfangi sem er.
Heimild: opennet.ru
[:]