новые apie įsilaužimą į decentralizuotos pranešimų platformos Matrix infrastruktūrą, apie kurią ryte. Probleminė grandis, per kurią įsiskverbė užpuolikai, buvo Jenkins nuolatinės integracijos sistema, kuri buvo įsilaužta kovo 13 d. Tada Jenkins serveryje buvo perimtas vieno iš administratorių prisijungimas, peradresuotas SSH agento, o balandžio 4 dieną užpuolikai gavo prieigą prie kitų infrastruktūros serverių.
Antrosios atakos metu matrix.org svetainė buvo nukreipta į kitą serverį (matrixnotorg.github.io), pakeitus DNS parametrus, naudojant pirmosios atakos metu perimtą Cloudflare turinio pristatymo sistemos API raktą. Atkurdami serverių turinį po pirmojo įsilaužimo, Matrix administratoriai atnaujino tik naujus asmeninius raktus ir praleido rakto atnaujinimą į Cloudflare.
Antrosios atakos metu Matrix serveriai liko nepaliesti; pakeitimai apsiribojo DNS adresų pakeitimu. Jei vartotojas jau pakeitė slaptažodį po pirmos atakos, antrą kartą jo keisti nereikia. Bet jei slaptažodis dar nebuvo pakeistas, jį reikia kuo greičiau atnaujinti, nes buvo patvirtintas duomenų bazės nutekėjimas su slaptažodžių maišais. Dabartinis planas yra pradėti priverstinio slaptažodžio nustatymo iš naujo procesą, kai kitą kartą prisijungsite.
Be slaptažodžių nutekėjimo, taip pat buvo patvirtinta, kad GPG raktai, naudojami paketų skaitmeniniams parašams generuoti Debian Synapse saugykloje ir Riot/Web leidimuose, pateko į užpuolikų rankas. Raktai buvo apsaugoti slaptažodžiu. Šiuo metu raktai jau atšaukti. Raktai buvo perimti balandžio 4 d., nuo to laiko nebuvo išleisti jokie Synapse naujinimai, tačiau buvo išleistas Riot/Web klientas 1.0.7 (preliminarus patikrinimas parodė, kad jis nebuvo pažeistas).
Užpuolikas „GitHub“ paskelbė keletą ataskaitų su išsamia atakos informacija ir patarimais, kaip padidinti apsaugą, tačiau jie buvo ištrinti. Tačiau archyvuotos ataskaitos .
Pavyzdžiui, užpuolikas pranešė, kad „Matrix“ kūrėjai turėtų dviejų veiksnių autentifikavimas arba bent nenaudojamas SSH agento peradresavimas („ForwardAgent taip“), tada skverbtis į infrastruktūrą būtų užblokuota. Atakos eskalavimą taip pat būtų galima sustabdyti suteikiant kūrėjams tik būtinas privilegijas, o ne visuose serveriuose.
Be to, buvo kritikuojama skaitmeninių parašų kūrimo raktų saugojimo praktika gamybiniuose serveriuose; tokiems tikslams turėtų būti skirtas atskiras izoliuotas kompiuteris. Vis dar puola , kad jei Matrix kūrėjai būtų reguliariai tikrinę žurnalus ir analizavę anomalijas, jie būtų anksti pastebėję įsilaužimo pėdsakus (CI įsilaužimas nebuvo aptiktas mėnesį). Kita problema saugoti visus konfigūracijos failus Git, o tai leido įvertinti kitų kompiuterių nustatymus, jei vienas iš jų buvo nulaužtas. Prieiga per SSH prie infrastruktūros serverių apsiribojo saugiu vidiniu tinklu, kuris leido prie jų prisijungti iš bet kurio išorinio adreso.
šaltinisopennet.ru
[: lt]новые apie įsilaužimą į decentralizuotos pranešimų platformos Matrix infrastruktūrą, apie kurią ryte. Probleminė grandis, per kurią įsiskverbė užpuolikai, buvo Jenkins nuolatinės integracijos sistema, kuri buvo įsilaužta kovo 13 d. Tada Jenkins serveryje buvo perimtas vieno iš administratorių prisijungimas, peradresuotas SSH agento, o balandžio 4 dieną užpuolikai gavo prieigą prie kitų infrastruktūros serverių.
Antrosios atakos metu matrix.org svetainė buvo nukreipta į kitą serverį (matrixnotorg.github.io), pakeitus DNS parametrus, naudojant pirmosios atakos metu perimtą Cloudflare turinio pristatymo sistemos API raktą. Atkurdami serverių turinį po pirmojo įsilaužimo, Matrix administratoriai atnaujino tik naujus asmeninius raktus ir praleido rakto atnaujinimą į Cloudflare.
Antrosios atakos metu Matrix serveriai liko nepaliesti; pakeitimai apsiribojo DNS adresų pakeitimu. Jei vartotojas jau pakeitė slaptažodį po pirmos atakos, antrą kartą jo keisti nereikia. Bet jei slaptažodis dar nebuvo pakeistas, jį reikia kuo greičiau atnaujinti, nes buvo patvirtintas duomenų bazės nutekėjimas su slaptažodžių maišais. Dabartinis planas yra pradėti priverstinio slaptažodžio nustatymo iš naujo procesą, kai kitą kartą prisijungsite.
Be slaptažodžių nutekėjimo, taip pat buvo patvirtinta, kad GPG raktai, naudojami paketų skaitmeniniams parašams generuoti Debian Synapse saugykloje ir Riot/Web leidimuose, pateko į užpuolikų rankas. Raktai buvo apsaugoti slaptažodžiu. Šiuo metu raktai jau atšaukti. Raktai buvo perimti balandžio 4 d., nuo to laiko nebuvo išleisti jokie Synapse naujinimai, tačiau buvo išleistas Riot/Web klientas 1.0.7 (preliminarus patikrinimas parodė, kad jis nebuvo pažeistas).
Užpuolikas „GitHub“ paskelbė keletą ataskaitų su išsamia atakos informacija ir patarimais, kaip padidinti apsaugą, tačiau jie buvo ištrinti. Tačiau archyvuotos ataskaitos .
Pavyzdžiui, užpuolikas pranešė, kad „Matrix“ kūrėjai turėtų dviejų veiksnių autentifikavimas arba bent nenaudojamas SSH agento peradresavimas („ForwardAgent taip“), tada skverbtis į infrastruktūrą būtų užblokuota. Atakos eskalavimą taip pat būtų galima sustabdyti suteikiant kūrėjams tik būtinas privilegijas, o ne visuose serveriuose.
Be to, buvo kritikuojama skaitmeninių parašų kūrimo raktų saugojimo praktika gamybiniuose serveriuose; tokiems tikslams turėtų būti skirtas atskiras izoliuotas kompiuteris. Vis dar puola , kad jei Matrix kūrėjai būtų reguliariai tikrinę žurnalus ir analizavę anomalijas, jie būtų anksti pastebėję įsilaužimo pėdsakus (CI įsilaužimas nebuvo aptiktas mėnesį). Kita problema saugoti visus konfigūracijos failus Git, o tai leido įvertinti kitų kompiuterių nustatymus, jei vienas iš jų buvo nulaužtas. Prieiga per SSH prie infrastruktūros serverių apsiribojo saugiu vidiniu tinklu, kuris leido prie jų prisijungti iš bet kurio išorinio adreso.
Šaltinis: opennet.ru
[: