новые sull'hacking dell'infrastruttura della piattaforma di messaggistica decentralizzata Matrix, di cui la mattina. L'anello problematico attraverso il quale gli aggressori sono penetrati è stato il sistema di integrazione continua Jenkins, che è stato violato il 13 marzo. Successivamente, sul server Jenkins, è stato intercettato il login di uno degli amministratori, reindirizzato da un agente SSH, e il 4 aprile gli aggressori hanno avuto accesso ad altri server dell'infrastruttura.
Durante il secondo attacco, il sito web Matrix.org è stato reindirizzato su un altro server (matrixnotorg.github.io) modificando i parametri DNS, utilizzando la chiave API del sistema di distribuzione dei contenuti Cloudflare intercettata durante il primo attacco. Durante la ricostruzione del contenuto dei server dopo il primo hack, gli amministratori di Matrix hanno aggiornato solo le nuove chiavi personali e hanno mancato l'aggiornamento della chiave per Cloudflare.
Durante il secondo attacco i server Matrix sono rimasti intatti; le modifiche si sono limitate solo alla sostituzione degli indirizzi nel DNS. Se l'utente ha già cambiato la password dopo il primo attacco, non è necessario cambiarla una seconda volta. Ma se la password non è stata ancora modificata, è necessario aggiornarla il prima possibile, poiché è stata confermata la perdita del database con gli hash delle password. Il piano attuale è quello di avviare un processo di reimpostazione forzata della password al prossimo accesso.
Oltre alla fuga di password, è stato anche confermato che le chiavi GPG utilizzate per generare firme digitali per i pacchetti nel repository Debian Synapse e nelle versioni Riot/Web sono cadute nelle mani degli aggressori. Le chiavi erano protette da password. Le chiavi sono già state revocate in questo momento. Le chiavi sono state intercettate il 4 aprile, da allora non è stato rilasciato alcun aggiornamento di Synapse, ma è stato rilasciato il client Riot/Web 1.0.7 (da un controllo preliminare è emerso che non era compromesso).
L'aggressore ha pubblicato su GitHub una serie di rapporti con dettagli sull'attacco e suggerimenti per aumentare la protezione, che però sono stati cancellati. Tuttavia, i rapporti archiviati .
Ad esempio, l'aggressore ha riferito che gli sviluppatori di Matrix dovrebbero farlo l’autenticazione a due fattori o almeno non utilizzando il reindirizzamento dell’agente SSH (“ForwardAgent sì”), la penetrazione nell’infrastruttura verrebbe bloccata. L'escalation dell'attacco potrebbe anche essere fermata concedendo agli sviluppatori solo i privilegi necessari, anziché su tutti i server.
Inoltre, è stata criticata la pratica di conservare le chiavi per la creazione di firme digitali sui server di produzione; a tale scopo dovrebbe essere assegnato un host isolato separato. Ancora in attacco , che se gli sviluppatori di Matrix avessero regolarmente controllato i log e analizzato le anomalie, avrebbero notato subito le tracce di un hack (l'hack CI non è stato rilevato per un mese). Un altro problema la memorizzazione di tutti i file di configurazione in Git, che ha permesso di valutare le impostazioni di altri host se uno di loro fosse stato violato. Accesso tramite SSH ai server dell'infrastruttura limitato a una rete interna sicura, che rendeva possibile connettersi ad essi da qualsiasi indirizzo esterno.
Fonteopennet.ru
[: En]новые sull'hacking dell'infrastruttura della piattaforma di messaggistica decentralizzata Matrix, di cui la mattina. L'anello problematico attraverso il quale gli aggressori sono penetrati è stato il sistema di integrazione continua Jenkins, che è stato violato il 13 marzo. Successivamente, sul server Jenkins, è stato intercettato il login di uno degli amministratori, reindirizzato da un agente SSH, e il 4 aprile gli aggressori hanno avuto accesso ad altri server dell'infrastruttura.
Durante il secondo attacco, il sito web Matrix.org è stato reindirizzato su un altro server (matrixnotorg.github.io) modificando i parametri DNS, utilizzando la chiave API del sistema di distribuzione dei contenuti Cloudflare intercettata durante il primo attacco. Durante la ricostruzione del contenuto dei server dopo il primo hack, gli amministratori di Matrix hanno aggiornato solo le nuove chiavi personali e hanno mancato l'aggiornamento della chiave per Cloudflare.
Durante il secondo attacco i server Matrix sono rimasti intatti; le modifiche si sono limitate solo alla sostituzione degli indirizzi nel DNS. Se l'utente ha già cambiato la password dopo il primo attacco, non è necessario cambiarla una seconda volta. Ma se la password non è stata ancora modificata, è necessario aggiornarla il prima possibile, poiché è stata confermata la perdita del database con gli hash delle password. Il piano attuale è quello di avviare un processo di reimpostazione forzata della password al prossimo accesso.
Oltre alla fuga di password, è stato anche confermato che le chiavi GPG utilizzate per generare firme digitali per i pacchetti nel repository Debian Synapse e nelle versioni Riot/Web sono cadute nelle mani degli aggressori. Le chiavi erano protette da password. Le chiavi sono già state revocate in questo momento. Le chiavi sono state intercettate il 4 aprile, da allora non è stato rilasciato alcun aggiornamento di Synapse, ma è stato rilasciato il client Riot/Web 1.0.7 (da un controllo preliminare è emerso che non era compromesso).
L'aggressore ha pubblicato su GitHub una serie di rapporti con dettagli sull'attacco e suggerimenti per aumentare la protezione, che però sono stati cancellati. Tuttavia, i rapporti archiviati .
Ad esempio, l'aggressore ha riferito che gli sviluppatori di Matrix dovrebbero farlo l’autenticazione a due fattori o almeno non utilizzando il reindirizzamento dell’agente SSH (“ForwardAgent sì”), la penetrazione nell’infrastruttura verrebbe bloccata. L'escalation dell'attacco potrebbe anche essere fermata concedendo agli sviluppatori solo i privilegi necessari, anziché su tutti i server.
Inoltre, è stata criticata la pratica di conservare le chiavi per la creazione di firme digitali sui server di produzione; a tale scopo dovrebbe essere assegnato un host isolato separato. Ancora in attacco , che se gli sviluppatori di Matrix avessero regolarmente controllato i log e analizzato le anomalie, avrebbero notato subito le tracce di un hack (l'hack CI non è stato rilevato per un mese). Un altro problema la memorizzazione di tutti i file di configurazione in Git, che ha permesso di valutare le impostazioni di altri host se uno di loro fosse stato violato. Accesso tramite SSH ai server dell'infrastruttura limitato a una rete interna sicura, che rendeva possibile connettersi ad essi da qualsiasi indirizzo esterno.
Fonte: opennet.ru
[:]