Π½ΠΎΠ²ΡΠ΅ babagan hacking infrastruktur platform olahpesen desentralisasi Matrix, babagan iki ing wayah esuk. Tautan masalah sing ditindakake para panyerang yaiku sistem integrasi terus-terusan Jenkins, sing disusupi tanggal 13 Maret. Banjur, ing server Jenkins, login salah sawijining pangurus, sing dialihake dening agen SSH, dicegat, lan ing 4 April, para panyerang entuk akses menyang server infrastruktur liyane.
Sajrone serangan kaping pindho, situs web matrix.org dialihake menyang server liyane (matrixnotorg.github.io) kanthi ngganti parameter DNS, nggunakake kunci kanggo API sistem pangiriman konten Cloudflare sing dicegat nalika serangan pisanan. Nalika mbangun maneh isi server sawise hack pisanan, administrator Matrix mung nganyari kunci pribadi anyar lan ora kejawab nganyari tombol kanggo Cloudflare.
Sajrone serangan kapindho, server Matrix tetep ora kena; owah-owahan mung diwatesi kanggo ngganti alamat ing DNS. Yen pangguna wis ngganti tembung sandhi sawise serangan pisanan, ora perlu diganti kaping pindho. Nanging yen tembung sandhi durung diganti, mula kudu dianyari sanalika bisa, amarga bocor database kanthi hashes tembung sandhi wis dikonfirmasi. Rencana saiki yaiku miwiti proses reset tembung sandi sing dipeksa nalika sampeyan mlebu maneh.
Saliyane bocor sandhi, uga wis dikonfirmasi manawa kunci GPG digunakake kanggo ngasilake tandha digital kanggo paket ing repositori Debian Synapse lan rilis Riot/Web wis tiba ing tangan para panyerang. Tombol padha dilindhungi sandi. Tombol wis dicabut ing wektu iki. Tombol kasebut dicegat tanggal 4 April, mula ora ana update Synapse sing dirilis, nanging klien Riot/Web 1.0.7 dirilis (pemeriksaan awal nuduhake yen ora dikompromi).
Penyerang ngirim sawetara laporan ing GitHub kanthi rincian serangan lan tips kanggo nambah proteksi, nanging wis dibusak. Nanging, laporan arsip .
Contone, panyerang nglaporake manawa pangembang Matrix kudu otentikasi rong faktor utawa paling ora nggunakake redirection agen SSH ("ForwardAgent ya"), banjur penetrasi menyang infrastruktur bakal diblokir. Escalation saka serangan uga bisa mandegake dening menehi pangembang mung hak istimewa sing perlu, tinimbang ing kabeh server.
Kajaba iku, praktik nyimpen kunci kanggo nggawe tanda tangan digital ing server produksi dikritik; host sing kapisah kudu diparengake kanggo tujuan kasebut. Isih nyerang , yen pangembang Matrix wis ajeg audit log lan analisa anomali, padha bakal ngeweruhi ngambah saka hack ing awal ( hack CI ora dideteksi kanggo sasi). Masalah liyane nyimpen kabeh file konfigurasi ing Git, kang ndadekake iku bisa kanggo ngevaluasi setelan host liyane yen salah siji saka wong-wong mau disusupi. Akses liwat SSH menyang server infrastruktur diwatesi kanggo jaringan internal aman, kang ndadekake iku bisa kanggo nyambung menyang wong saka sembarang alamat external.
Sumberopennet.ru
[: en]Π½ΠΎΠ²ΡΠ΅ babagan hacking infrastruktur platform olahpesen desentralisasi Matrix, babagan iki ing wayah esuk. Tautan masalah sing ditindakake para panyerang yaiku sistem integrasi terus-terusan Jenkins, sing disusupi tanggal 13 Maret. Banjur, ing server Jenkins, login salah sawijining pangurus, sing dialihake dening agen SSH, dicegat, lan ing 4 April, para panyerang entuk akses menyang server infrastruktur liyane.
Sajrone serangan kaping pindho, situs web matrix.org dialihake menyang server liyane (matrixnotorg.github.io) kanthi ngganti parameter DNS, nggunakake kunci kanggo API sistem pangiriman konten Cloudflare sing dicegat nalika serangan pisanan. Nalika mbangun maneh isi server sawise hack pisanan, administrator Matrix mung nganyari kunci pribadi anyar lan ora kejawab nganyari tombol kanggo Cloudflare.
Sajrone serangan kapindho, server Matrix tetep ora kena; owah-owahan mung diwatesi kanggo ngganti alamat ing DNS. Yen pangguna wis ngganti tembung sandhi sawise serangan pisanan, ora perlu diganti kaping pindho. Nanging yen tembung sandhi durung diganti, mula kudu dianyari sanalika bisa, amarga bocor database kanthi hashes tembung sandhi wis dikonfirmasi. Rencana saiki yaiku miwiti proses reset tembung sandi sing dipeksa nalika sampeyan mlebu maneh.
Saliyane bocor sandhi, uga wis dikonfirmasi manawa kunci GPG digunakake kanggo ngasilake tandha digital kanggo paket ing repositori Debian Synapse lan rilis Riot/Web wis tiba ing tangan para panyerang. Tombol padha dilindhungi sandi. Tombol wis dicabut ing wektu iki. Tombol kasebut dicegat tanggal 4 April, mula ora ana update Synapse sing dirilis, nanging klien Riot/Web 1.0.7 dirilis (pemeriksaan awal nuduhake yen ora dikompromi).
Penyerang ngirim sawetara laporan ing GitHub kanthi rincian serangan lan tips kanggo nambah proteksi, nanging wis dibusak. Nanging, laporan arsip .
Contone, panyerang nglaporake manawa pangembang Matrix kudu otentikasi rong faktor utawa paling ora nggunakake redirection agen SSH ("ForwardAgent ya"), banjur penetrasi menyang infrastruktur bakal diblokir. Escalation saka serangan uga bisa mandegake dening menehi pangembang mung hak istimewa sing perlu, tinimbang ing kabeh server.
Kajaba iku, praktik nyimpen kunci kanggo nggawe tanda tangan digital ing server produksi dikritik; host sing kapisah kudu diparengake kanggo tujuan kasebut. Isih nyerang , yen pangembang Matrix wis ajeg audit log lan analisa anomali, padha bakal ngeweruhi ngambah saka hack ing awal ( hack CI ora dideteksi kanggo sasi). Masalah liyane nyimpen kabeh file konfigurasi ing Git, kang ndadekake iku bisa kanggo ngevaluasi setelan host liyane yen salah siji saka wong-wong mau disusupi. Akses liwat SSH menyang server infrastruktur diwatesi kanggo jaringan internal aman, kang ndadekake iku bisa kanggo nyambung menyang wong saka sembarang alamat external.
Source: opennet.ru
[:]