новые par decentralizētās ziņojumapmaiņas platformas Matrix infrastruktūras uzlaušanu, par kuru no rīta. Problemātiskā saite, caur kuru uzbrucēji iekļuva, bija Dženkinsa nepārtrauktās integrācijas sistēma, kas tika uzlauzta 13. martā. Pēc tam Jenkins serverī tika pārtverta viena administratora pieteikšanās, ko pāradresēja SSH aģents, un 4. aprīlī uzbrucēji ieguva piekļuvi citiem infrastruktūras serveriem.
Otrā uzbrukuma laikā vietne matrix.org tika novirzīta uz citu serveri (matrixnotorg.github.io), mainot DNS parametrus, izmantojot pirmā uzbrukuma laikā pārtverto Cloudflare satura piegādes sistēmas API atslēgu. Pārbūvējot serveru saturu pēc pirmā uzlaušanas, Matrix administratori atjaunināja tikai jaunas personiskās atslēgas un nokavēja atslēgas atjaunināšanu uz Cloudflare.
Otrā uzbrukuma laikā Matrix serveri palika neskarti; izmaiņas tika veiktas tikai ar adrešu nomaiņu DNS. Ja lietotājs jau ir nomainījis paroli pēc pirmā uzbrukuma, otrreiz tā nav jāmaina. Bet, ja parole vēl nav mainīta, tā ir jāatjaunina pēc iespējas ātrāk, jo ir apstiprināta datu bāzes noplūde ar paroļu jaucējkrāni. Pašreizējais plāns ir uzsākt piespiedu paroles atiestatīšanas procesu nākamajā pieteikšanās reizē.
Papildus paroļu noplūdei apstiprināts arī tas, ka uzbrucēju rokās ir nonākušas GPG atslēgas, kas izmantotas, lai ģenerētu digitālo parakstu pakotnēm Debian Synapse repozitorijā un Riot/Web izlaidumos. Atslēgas bija aizsargātas ar paroli. Šobrīd atslēgas jau ir atsauktas. Atslēgas tika pārtvertas 4. aprīlī, kopš tā laika Synapse atjauninājumi nav izlaisti, taču tika izlaists Riot/Web klients 1.0.7 (iepriekšējā pārbaude parādīja, ka tas nav apdraudēts).
Uzbrucējs vietnē GitHub ievietoja vairākus ziņojumus ar detalizētu informāciju par uzbrukumu un padomiem, kā palielināt aizsardzību, taču tie tika izdzēsti. Tomēr arhivētie ziņojumi .
Piemēram, uzbrucējs ziņoja, ka Matrix izstrādātājiem vajadzētu divu faktoru autentifikāciju vai vismaz neizmantojot SSH aģenta novirzīšanu (“ForwardAgent jā”), tad iekļūšana infrastruktūrā tiktu bloķēta. Uzbrukuma eskalāciju varētu arī apturēt, dodot izstrādātājiem tikai nepieciešamās privilēģijas, nevis visos serveros.
Turklāt tika kritizēta prakse glabāt atslēgas digitālo parakstu izveidei ražošanas serveros; šādiem nolūkiem būtu jāpiešķir atsevišķs izolēts resursdators. Joprojām uzbrūk , ka, ja Matrix izstrādātāji būtu regulāri pārbaudījuši žurnālus un analizējuši anomālijas, viņi būtu pamanījuši uzlaušanas pēdas jau agri (CI uzlaušana netika atklāta mēnesi). Vēl viena problēma saglabājot visus konfigurācijas failus Git, kas ļāva novērtēt citu saimniekdatoru iestatījumus, ja kāds no tiem tika uzlauzts. Piekļuve infrastruktūras serveriem, izmantojot SSH ierobežots ar drošu iekšējo tīklu, kas ļāva tiem izveidot savienojumu no jebkuras ārējās adreses.
Avotsopennet.ru
[: lv]новые par decentralizētās ziņojumapmaiņas platformas Matrix infrastruktūras uzlaušanu, par kuru no rīta. Problemātiskā saite, caur kuru uzbrucēji iekļuva, bija Dženkinsa nepārtrauktās integrācijas sistēma, kas tika uzlauzta 13. martā. Pēc tam Jenkins serverī tika pārtverta viena administratora pieteikšanās, ko pāradresēja SSH aģents, un 4. aprīlī uzbrucēji ieguva piekļuvi citiem infrastruktūras serveriem.
Otrā uzbrukuma laikā vietne matrix.org tika novirzīta uz citu serveri (matrixnotorg.github.io), mainot DNS parametrus, izmantojot pirmā uzbrukuma laikā pārtverto Cloudflare satura piegādes sistēmas API atslēgu. Pārbūvējot serveru saturu pēc pirmā uzlaušanas, Matrix administratori atjaunināja tikai jaunas personiskās atslēgas un nokavēja atslēgas atjaunināšanu uz Cloudflare.
Otrā uzbrukuma laikā Matrix serveri palika neskarti; izmaiņas tika veiktas tikai ar adrešu nomaiņu DNS. Ja lietotājs jau ir nomainījis paroli pēc pirmā uzbrukuma, otrreiz tā nav jāmaina. Bet, ja parole vēl nav mainīta, tā ir jāatjaunina pēc iespējas ātrāk, jo ir apstiprināta datu bāzes noplūde ar paroļu jaucējkrāni. Pašreizējais plāns ir uzsākt piespiedu paroles atiestatīšanas procesu nākamajā pieteikšanās reizē.
Papildus paroļu noplūdei apstiprināts arī tas, ka uzbrucēju rokās ir nonākušas GPG atslēgas, kas izmantotas, lai ģenerētu digitālo parakstu pakotnēm Debian Synapse repozitorijā un Riot/Web izlaidumos. Atslēgas bija aizsargātas ar paroli. Šobrīd atslēgas jau ir atsauktas. Atslēgas tika pārtvertas 4. aprīlī, kopš tā laika Synapse atjauninājumi nav izlaisti, taču tika izlaists Riot/Web klients 1.0.7 (iepriekšējā pārbaude parādīja, ka tas nav apdraudēts).
Uzbrucējs vietnē GitHub ievietoja vairākus ziņojumus ar detalizētu informāciju par uzbrukumu un padomiem, kā palielināt aizsardzību, taču tie tika izdzēsti. Tomēr arhivētie ziņojumi .
Piemēram, uzbrucējs ziņoja, ka Matrix izstrādātājiem vajadzētu divu faktoru autentifikāciju vai vismaz neizmantojot SSH aģenta novirzīšanu (“ForwardAgent jā”), tad iekļūšana infrastruktūrā tiktu bloķēta. Uzbrukuma eskalāciju varētu arī apturēt, dodot izstrādātājiem tikai nepieciešamās privilēģijas, nevis visos serveros.
Turklāt tika kritizēta prakse glabāt atslēgas digitālo parakstu izveidei ražošanas serveros; šādiem nolūkiem būtu jāpiešķir atsevišķs izolēts resursdators. Joprojām uzbrūk , ka, ja Matrix izstrādātāji būtu regulāri pārbaudījuši žurnālus un analizējuši anomālijas, viņi būtu pamanījuši uzlaušanas pēdas jau agri (CI uzlaušana netika atklāta mēnesi). Vēl viena problēma saglabājot visus konfigurācijas failus Git, kas ļāva novērtēt citu saimniekdatoru iestatījumus, ja kāds no tiem tika uzlauzts. Piekļuve infrastruktūras serveriem, izmantojot SSH ierobežots ar drošu iekšējo tīklu, kas ļāva tiem izveidot savienojumu no jebkuras ārējās adreses.
Avots: opennet.ru
[:]