новые за хакирањето на инфраструктурата на децентрализираната платформа за пораки Matrix, за која наутро. Проблематичната алка преку која навлегле напаѓачите е системот за континуирана интеграција Џенкинс, кој беше хакиран на 13 март. Потоа, на серверот Џенкинс, најавата на еден од администраторите, пренасочена од агент на SSH, била пресретната, а на 4 април напаѓачите добиле пристап до други инфраструктурни сервери.
За време на вториот напад, веб-локацијата matrix.org беше пренасочена на друг сервер (matrixnotorg.github.io) со менување на параметрите на DNS, користејќи го клучот за API на системот за испорака на содржина во Cloudflare пресретнат за време на првиот напад. При обнова на содржината на серверите по првото хакирање, администраторите на Matrix само ги ажурираа новите лични клучеви и пропуштија да го ажурираат клучот за Cloudflare.
За време на вториот напад, серверите на Matrix останаа недопрени; промените беа ограничени само на замена на адресите во DNS. Ако корисникот веќе ја сменил лозинката по првиот напад, нема потреба да ја менува по втор пат. Но, ако лозинката сè уште не е сменета, треба да се ажурира што е можно поскоро, бидејќи е потврдено истекувањето на базата на податоци со хашови на лозинка. Тековниот план е да се иницира процес на принудно ресетирање на лозинката следниот пат кога ќе се најавите.
Покрај протекувањето на лозинки, потврдено е и дека клучевите GPG кои се користат за генерирање на дигитални потписи за пакетите во складиштето на Debian Synapse и изданијата Riot/Web паднале во рацете на напаѓачите. Клучевите беа заштитени со лозинка. Во овој момент клучевите се веќе отповикани. Клучевите беа пресретнати на 4 април, оттогаш не се објавени ажурирања на Synapse, но беше пуштен на слобода клиентот Riot/Web 1.0.7 (прелиминарната проверка покажа дека не е компромитиран).
Напаѓачот објави серија извештаи на GitHub со детали за нападот и совети за зголемување на заштитата, но тие беа избришани. Сепак, архивираните извештаи .
На пример, напаѓачот пријавил дека програмерите на Matrix треба автентикација со два фактори или барем да не се користи пренасочување на агентот SSH („ForwardAgent да“), тогаш пенетрацијата во инфраструктурата ќе биде блокирана. Ескалацијата на нападот, исто така, може да се запре со давање на програмерите само потребните привилегии, наместо на сите сервери.
Дополнително, беше критикувана практиката на складирање на клучеви за создавање дигитални потписи на производствени сервери, за такви цели треба да се додели посебен изолиран хост. Уште напаѓаат , дека доколку програмерите на Matrix редовно ги ревидирале дневниците и анализирале аномалии, рано би забележале траги од хакирање (Хакот на CI остана неоткриен еден месец). Друг проблем складирање на сите конфигурациски датотеки во Git, што овозможи да се проценат поставките на другите домаќини доколку еден од нив бил хакиран. Пристап преку SSH до инфраструктурни сервери ограничена на безбедна внатрешна мрежа, што овозможи да се поврзете со нив од која било надворешна адреса.
Изворopennet.ru
[EN]новые за хакирањето на инфраструктурата на децентрализираната платформа за пораки Matrix, за која наутро. Проблематичната алка преку која навлегле напаѓачите е системот за континуирана интеграција Џенкинс, кој беше хакиран на 13 март. Потоа, на серверот Џенкинс, најавата на еден од администраторите, пренасочена од агент на SSH, била пресретната, а на 4 април напаѓачите добиле пристап до други инфраструктурни сервери.
За време на вториот напад, веб-локацијата matrix.org беше пренасочена на друг сервер (matrixnotorg.github.io) со менување на параметрите на DNS, користејќи го клучот за API на системот за испорака на содржина во Cloudflare пресретнат за време на првиот напад. При обнова на содржината на серверите по првото хакирање, администраторите на Matrix само ги ажурираа новите лични клучеви и пропуштија да го ажурираат клучот за Cloudflare.
За време на вториот напад, серверите на Matrix останаа недопрени; промените беа ограничени само на замена на адресите во DNS. Ако корисникот веќе ја сменил лозинката по првиот напад, нема потреба да ја менува по втор пат. Но, ако лозинката сè уште не е сменета, треба да се ажурира што е можно поскоро, бидејќи е потврдено истекувањето на базата на податоци со хашови на лозинка. Тековниот план е да се иницира процес на принудно ресетирање на лозинката следниот пат кога ќе се најавите.
Покрај протекувањето на лозинки, потврдено е и дека клучевите GPG кои се користат за генерирање на дигитални потписи за пакетите во складиштето на Debian Synapse и изданијата Riot/Web паднале во рацете на напаѓачите. Клучевите беа заштитени со лозинка. Во овој момент клучевите се веќе отповикани. Клучевите беа пресретнати на 4 април, оттогаш не се објавени ажурирања на Synapse, но беше пуштен на слобода клиентот Riot/Web 1.0.7 (прелиминарната проверка покажа дека не е компромитиран).
Напаѓачот објави серија извештаи на GitHub со детали за нападот и совети за зголемување на заштитата, но тие беа избришани. Сепак, архивираните извештаи .
На пример, напаѓачот пријавил дека програмерите на Matrix треба автентикација со два фактори или барем да не се користи пренасочување на агентот SSH („ForwardAgent да“), тогаш пенетрацијата во инфраструктурата ќе биде блокирана. Ескалацијата на нападот, исто така, може да се запре со давање на програмерите само потребните привилегии, наместо на сите сервери.
Дополнително, беше критикувана практиката на складирање на клучеви за создавање дигитални потписи на производствени сервери, за такви цели треба да се додели посебен изолиран хост. Уште напаѓаат , дека доколку програмерите на Matrix редовно ги ревидирале дневниците и анализирале аномалии, рано би забележале траги од хакирање (Хакот на CI остана неоткриен еден месец). Друг проблем складирање на сите конфигурациски датотеки во Git, што овозможи да се проценат поставките на другите домаќини доколку еден од нив бил хакиран. Пристап преку SSH до инфраструктурни сервери ограничена на безбедна внатрешна мрежа, што овозможи да се поврзете со нив од која било надворешна адреса.
Извор: opennet.ru
[:]