XNUMX 番目のマトリックス ハックの詳細。 プロジェクトの GPG キーが侵害されました

[:る]

発行済み новые 詳細 分散型メッセージング プラットフォーム Matrix のインフラストラクチャのハッキングについて 報告された 午前中に。 攻撃者が侵入した問題のあるリンクは、13 月 4 日にハッキングされた Jenkins 継続的統合システムでした。 その後、Jenkins サーバー上で、SSH エージェントによってリダイレクトされた管理者の XNUMX 人のログインが傍受され、XNUMX 月 XNUMX 日に攻撃者は他のインフラストラクチャ サーバーへのアクセスを取得しました。

XNUMX回目の攻撃では、最初の攻撃で傍受されたCloudflareコンテンツ配信システムAPIのキーを使用してDNSパラメータを変更し、matrix.org Webサイトが別のサーバー（matrixnotorg.github.io）にリダイレクトされました。 最初のハッキング後にサーバーのコンテンツを再構築する際、Matrix 管理者は新しい個人キーを更新するだけで、Cloudflare へのキーの更新を見逃していました。

XNUMX 回目の攻撃では、Matrix サーバーは手つかずのままであり、変更は DNS 内のアドレスの置き換えのみに限定されていました。 ユーザーが最初の攻撃後にすでにパスワードを変更している場合は、XNUMX 回目にパスワードを変更する必要はありません。 ただし、パスワードハッシュを含むデータベースの漏洩が確認されているため、パスワードがまだ変更されていない場合は、できるだけ早く更新する必要があります。 現在の計画では、次回ログイン時に強制パスワード リセット プロセスを開始する予定です。

パスワードの漏洩に加えて、Debian Synapse リポジトリおよび Riot/Web リリース内のパッケージのデジタル署名を生成するために使用される GPG キーが攻撃者の手に渡ったことも確認されています。 キーはパスワードで保護されていました。 この時点でキーはすでに取り消されています。 キーは 4 月 1.0.7 日に傍受され、それ以来 Synapse のアップデートはリリースされていませんでしたが、Riot/Web クライアント XNUMX がリリースされました (事前チェックでは侵害されていないことが示されました)。

攻撃者は、攻撃の詳細と保護を強化するためのヒントを含む一連のレポートを GitHub に投稿しましたが、それらは削除されました。 ただし、アーカイブされたレポートは、 生き残った.
たとえば、攻撃者は、Matrix 開発者が次のことを行う必要があると報告しました。 使用します XNUMX 要素認証を使用するか、少なくとも SSH エージェント リダイレクト (「ForwardAgent Yes」) を使用しない場合、インフラストラクチャへの侵入はブロックされます。 攻撃のエスカレーションは、開発者に必要な権限のみを与えることによっても阻止できる可能性があります。 完全な root アクセス すべてのサーバー上で。

さらに、実稼働サーバー上でデジタル署名を作成するためのキーを保存する慣行が批判され、そのような目的のために別の隔離されたホストを割り当てる必要があります。 まだ攻撃中 сообщил、Matrix 開発者が定期的にログを監査し、異常を分析していれば、早い段階でハッキングの痕跡に気づいたでしょう (CI ハッキングは XNUMX か月間検出されませんでした)。 別の問題 было すべての設定ファイルを Git に保存することで、ホストの XNUMX つがハッキングされた場合でも、他のホストの設定を評価できるようになりました。 SSH経由でインフラストラクチャサーバーにアクセス ではなかった 安全な内部ネットワークに限定されているため、任意の外部アドレスから接続できるようになりました。

ソースオープンネット.ru

[：EN]

発行済み новые 詳細 分散型メッセージング プラットフォーム Matrix のインフラストラクチャのハッキングについて 報告された 午前中に。 攻撃者が侵入した問題のあるリンクは、13 月 4 日にハッキングされた Jenkins 継続的統合システムでした。 その後、Jenkins サーバー上で、SSH エージェントによってリダイレクトされた管理者の XNUMX 人のログインが傍受され、XNUMX 月 XNUMX 日に攻撃者は他のインフラストラクチャ サーバーへのアクセスを取得しました。

XNUMX回目の攻撃では、最初の攻撃で傍受されたCloudflareコンテンツ配信システムAPIのキーを使用してDNSパラメータを変更し、matrix.org Webサイトが別のサーバー（matrixnotorg.github.io）にリダイレクトされました。 最初のハッキング後にサーバーのコンテンツを再構築する際、Matrix 管理者は新しい個人キーを更新するだけで、Cloudflare へのキーの更新を見逃していました。

XNUMX 回目の攻撃では、Matrix サーバーは手つかずのままであり、変更は DNS 内のアドレスの置き換えのみに限定されていました。 ユーザーが最初の攻撃後にすでにパスワードを変更している場合は、XNUMX 回目にパスワードを変更する必要はありません。 ただし、パスワードハッシュを含むデータベースの漏洩が確認されているため、パスワードがまだ変更されていない場合は、できるだけ早く更新する必要があります。 現在の計画では、次回ログイン時に強制パスワード リセット プロセスを開始する予定です。

パスワードの漏洩に加えて、Debian Synapse リポジトリおよび Riot/Web リリース内のパッケージのデジタル署名を生成するために使用される GPG キーが攻撃者の手に渡ったことも確認されています。 キーはパスワードで保護されていました。 この時点でキーはすでに取り消されています。 キーは 4 月 1.0.7 日に傍受され、それ以来 Synapse のアップデートはリリースされていませんでしたが、Riot/Web クライアント XNUMX がリリースされました (事前チェックでは侵害されていないことが示されました)。

攻撃者は、攻撃の詳細と保護を強化するためのヒントを含む一連のレポートを GitHub に投稿しましたが、それらは削除されました。 ただし、アーカイブされたレポートは、 生き残った.
たとえば、攻撃者は、Matrix 開発者が次のことを行う必要があると報告しました。 使用します XNUMX 要素認証を使用するか、少なくとも SSH エージェント リダイレクト (「ForwardAgent Yes」) を使用しない場合、インフラストラクチャへの侵入はブロックされます。 攻撃のエスカレーションは、開発者に必要な権限のみを与えることによっても阻止できる可能性があります。 完全な root アクセス すべてのサーバー上で。

さらに、実稼働サーバー上でデジタル署名を作成するためのキーを保存する慣行が批判され、そのような目的のために別の隔離されたホストを割り当てる必要があります。 まだ攻撃中 сообщил、Matrix 開発者が定期的にログを監査し、異常を分析していれば、早い段階でハッキングの痕跡に気づいたでしょう (CI ハッキングは XNUMX か月間検出されませんでした)。 別の問題 было すべての設定ファイルを Git に保存することで、ホストの XNUMX つがハッキングされた場合でも、他のホストの設定を評価できるようになりました。 SSH経由でインフラストラクチャサーバーにアクセス ではなかった 安全な内部ネットワークに限定されているため、任意の外部アドレスから接続できるようになりました。

出所： オープンネット.ru

[：]