новые орталықтандырылмаған хабар алмасу платформасының Matrix инфрақұрылымын бұзу туралы, ол туралы таңертеңде. Шабуылшылар еніп кеткен проблемалық сілтеме 13 наурызда бұзылған Дженкинс үздіксіз интеграциялық жүйесі болды. Содан кейін Дженкинс серверінде SSH агенті қайта бағыттаған әкімшілердің бірінің логині ұсталып, 4 сәуірде шабуылдаушылар басқа инфрақұрылым серверлеріне қол жеткізді.
Екінші шабуыл кезінде matrix.org веб-сайты бірінші шабуыл кезінде ұсталған Cloudflare мазмұнды жеткізу жүйесінің API кілтін пайдаланып, DNS параметрлерін өзгерту арқылы басқа серверге (matrixnotorg.github.io) қайта бағытталды. Бірінші бұзудан кейін серверлердің мазмұнын қайта құру кезінде Matrix әкімшілері тек жаңа жеке кілттерді жаңартты және Cloudflare кілтін жаңартуды өткізіп алды.
Екінші шабуыл кезінде матрицалық серверлер қозғалмай қалды, өзгертулер тек DNS мекенжайларын ауыстырумен шектелді. Егер пайдаланушы бірінші шабуылдан кейін құпия сөзді өзгертіп қойған болса, оны екінші рет өзгертудің қажеті жоқ. Бірақ егер құпия сөз әлі өзгертілмеген болса, оны мүмкіндігінше тезірек жаңарту қажет, өйткені құпия сөз хэштері бар дерекқордың ағып кетуі расталды. Ағымдағы жоспар келесі рет жүйеге кірген кезде құпия сөзді мәжбүрлеп қалпына келтіру процесін бастау болып табылады.
Құпия сөздердің ағып кетуінен басқа, Debian Synapse репозиторийіндегі пакеттер мен Riot/Web шығарылымдарындағы сандық қолтаңбаларды генерациялау үшін пайдаланылатын GPG кілттері шабуылдаушылардың қолына түскені де расталды. Кілттер құпия сөзбен қорғалған. Қазіргі уақытта кілттер қайтарылып алынған. Кілттер 4 сәуірде ұсталды, содан бері Synapse жаңартулары шығарылған жоқ, бірақ Riot/Web клиенті 1.0.7 шығарылды (алдын ала тексеру оның бұзылмағанын көрсетті).
Шабуылшы GitHub сайтында шабуылдың егжей-тегжейлері мен қорғанысты арттыруға арналған кеңестермен бірқатар есептер жариялады, бірақ олар жойылды. Дегенмен мұрағаттағы есептер .
Мысалы, шабуылдаушы Matrix әзірлеушілері қажет деп хабарлады екі факторлы аутентификация немесе кем дегенде SSH агентін қайта бағыттауды пайдаланбау («ForwardAgent иә»), содан кейін инфрақұрылымға ену бұғатталған болады. Шабуылдың күшеюін әзірлеушілерге емес, тек қажетті артықшылықтарды беру арқылы да тоқтатуға болады барлық серверлерде.
Сонымен қатар, өндірістік серверлерде цифрлық қолтаңбаны құру кілттерін сақтау тәжірибесі сынға алынды, мұндай мақсаттар үшін бөлек оқшауланған хост бөлінуі керек. Әлі де шабуылдауда , егер Matrix әзірлеушілері журналдарды жүйелі түрде тексеріп, аномалияларды талдаса, олар бұзудың іздерін ерте байқаған болар еді (CI бұзу бір ай бойы анықталмады). Тағы бір мәселе Git-те барлық конфигурация файлдарын сақтау, егер олардың біреуі бұзылған болса, басқа хосттардың параметрлерін бағалауға мүмкіндік берді. SSH арқылы инфрақұрылым серверлеріне қол жеткізу қауіпсіз ішкі желімен шектелген, бұл оларға кез келген сыртқы мекенжайдан қосылуға мүмкіндік берді.
Көзіopennet.ru
[: ky]новые орталықтандырылмаған хабар алмасу платформасының Matrix инфрақұрылымын бұзу туралы, ол туралы таңертеңде. Шабуылшылар еніп кеткен проблемалық сілтеме 13 наурызда бұзылған Дженкинс үздіксіз интеграциялық жүйесі болды. Содан кейін Дженкинс серверінде SSH агенті қайта бағыттаған әкімшілердің бірінің логині ұсталып, 4 сәуірде шабуылдаушылар басқа инфрақұрылым серверлеріне қол жеткізді.
Екінші шабуыл кезінде matrix.org веб-сайты бірінші шабуыл кезінде ұсталған Cloudflare мазмұнды жеткізу жүйесінің API кілтін пайдаланып, DNS параметрлерін өзгерту арқылы басқа серверге (matrixnotorg.github.io) қайта бағытталды. Бірінші бұзудан кейін серверлердің мазмұнын қайта құру кезінде Matrix әкімшілері тек жаңа жеке кілттерді жаңартты және Cloudflare кілтін жаңартуды өткізіп алды.
Екінші шабуыл кезінде матрицалық серверлер қозғалмай қалды, өзгертулер тек DNS мекенжайларын ауыстырумен шектелді. Егер пайдаланушы бірінші шабуылдан кейін құпия сөзді өзгертіп қойған болса, оны екінші рет өзгертудің қажеті жоқ. Бірақ егер құпия сөз әлі өзгертілмеген болса, оны мүмкіндігінше тезірек жаңарту қажет, өйткені құпия сөз хэштері бар дерекқордың ағып кетуі расталды. Ағымдағы жоспар келесі рет жүйеге кірген кезде құпия сөзді мәжбүрлеп қалпына келтіру процесін бастау болып табылады.
Құпия сөздердің ағып кетуінен басқа, Debian Synapse репозиторийіндегі пакеттер мен Riot/Web шығарылымдарындағы сандық қолтаңбаларды генерациялау үшін пайдаланылатын GPG кілттері шабуылдаушылардың қолына түскені де расталды. Кілттер құпия сөзбен қорғалған. Қазіргі уақытта кілттер қайтарылып алынған. Кілттер 4 сәуірде ұсталды, содан бері Synapse жаңартулары шығарылған жоқ, бірақ Riot/Web клиенті 1.0.7 шығарылды (алдын ала тексеру оның бұзылмағанын көрсетті).
Шабуылшы GitHub сайтында шабуылдың егжей-тегжейлері мен қорғанысты арттыруға арналған кеңестермен бірқатар есептер жариялады, бірақ олар жойылды. Дегенмен мұрағаттағы есептер .
Мысалы, шабуылдаушы Matrix әзірлеушілері қажет деп хабарлады екі факторлы аутентификация немесе кем дегенде SSH агентін қайта бағыттауды пайдаланбау («ForwardAgent иә»), содан кейін инфрақұрылымға ену бұғатталған болады. Шабуылдың күшеюін әзірлеушілерге емес, тек қажетті артықшылықтарды беру арқылы да тоқтатуға болады барлық серверлерде.
Сонымен қатар, өндірістік серверлерде цифрлық қолтаңбаны құру кілттерін сақтау тәжірибесі сынға алынды, мұндай мақсаттар үшін бөлек оқшауланған хост бөлінуі керек. Әлі де шабуылдауда , егер Matrix әзірлеушілері журналдарды жүйелі түрде тексеріп, аномалияларды талдаса, олар бұзудың іздерін ерте байқаған болар еді (CI бұзу бір ай бойы анықталмады). Тағы бір мәселе Git-те барлық конфигурация файлдарын сақтау, егер олардың біреуі бұзылған болса, басқа хосттардың параметрлерін бағалауға мүмкіндік берді. SSH арқылы инфрақұрылым серверлеріне қол жеткізу қауіпсіз ішкі желімен шектелген, бұл оларға кез келген сыртқы мекенжайдан қосылуға мүмкіндік берді.
Ақпарат көзі: opennet.ru
[:]