новые төвлөрсөн бус мессежийн платформ Matrix-ын дэд бүтцийг хакердсан тухай, өглөө. Халдагчид нэвтэрсэн асуудалтай холбоос бол 13-р сарын 4-нд хакердсан Женкинсийн тасралтгүй интеграцийн систем байв. Дараа нь Jenkins сервер дээр SSH агентаар дахин чиглүүлсэн администраторуудын аль нэгнийх нь нэвтрэлтийг таслан зогсоож, XNUMX-р сарын XNUMX-нд халдагчид бусад дэд бүтцийн серверүүд рүү нэвтрэх боломжтой болсон.
Хоёр дахь халдлагын үеэр matrix.org вэбсайтыг DNS параметрүүдийг өөрчилснөөр өөр сервер рүү (matrixnotorg.github.io) дахин чиглүүлж, эхний халдлагын үеэр саатуулсан Cloudflare контент дамжуулах системийн API түлхүүрийг ашигласан. Эхний хакердсаны дараа серверийн агуулгыг дахин бүтээхдээ Матрицын администраторууд зөвхөн шинэ хувийн түлхүүрүүдийг шинэчилж, Cloudflare-ийн түлхүүрийг шинэчлэхээ алдсан.
Хоёрдахь халдлагын үеэр матрицын серверүүд хөндөгдөөгүй, өөрчлөлт нь зөвхөн DNS дахь хаягийг солих замаар хязгаарлагдаж байв. Хэрэв хэрэглэгч эхний халдлагын дараа нууц үгээ өөрчилсөн бол хоёр дахь удаагаа солих шаардлагагүй болно. Гэхдээ нууц үг хараахан өөрчлөгдөөгүй байгаа бол нууц үгийн хэш бүхий мэдээллийн сан алдагдсан нь батлагдсан тул аль болох хурдан шинэчлэх шаардлагатай байна. Одоогийн төлөвлөгөө нь таныг дараагийн удаа нэвтрэх үед албадан нууц үг шинэчлэх үйл явцыг эхлүүлэх явдал юм.
Нууц үг алдагдсанаас гадна Debian Synapse репозитор болон Riot/Web хувилбаруудын багцад дижитал гарын үсэг үүсгэхэд ашигладаг GPG түлхүүрүүд халдагчдын гарт орсон нь батлагдсан. Түлхүүрүүд нууц үгээр хамгаалагдсан. Энэ үед түлхүүрүүдийг аль хэдийн хүчингүй болгосон. Түлхүүрүүдийг 4-р сарын 1.0.7-нд саатуулсан бөгөөд түүнээс хойш Synapse-ийн шинэчлэл гараагүй боловч Riot/Web клиент XNUMX гарсан (урьдчилсан шалгалтаар энэ нь эвдэрч гэмтээгүй гэдгийг харуулсан).
Халдлага үйлдэгч GitHub дээр халдлагын талаарх дэлгэрэнгүй мэдээлэл, хамгаалалтыг нэмэгдүүлэх зөвлөмж бүхий цуврал тайланг нийтэлсэн боловч устгасан. Гэсэн хэдий ч архивлагдсан тайлангууд .
Жишээлбэл, халдагч Матрикс хөгжүүлэгчид үүнийг хийх ёстой гэж мэдээлсэн хоёр хүчин зүйлийн баталгаажуулалт эсвэл ядаж SSH агентын дахин чиглүүлэлт ("ForwardAgent тийм") ашиглаагүй тохиолдолд дэд бүтцэд нэвтрэх нь хаагдах болно. Хөгжүүлэгчид зөвхөн шаардлагатай давуу эрх олгох замаар халдлагын даамжрах явцыг зогсоож болно бүх серверүүд дээр.
Нэмж дурдахад дижитал гарын үсэг үүсгэх түлхүүрүүдийг үйлдвэрлэлийн серверүүд дээр хадгалах практикийг шүүмжилсэн тул ийм зорилгоор тусдаа тусгаарлагдсан хостыг хуваарилах хэрэгтэй. Довтолж байна , хэрэв Матриц хөгжүүлэгчид бүртгэлд тогтмол аудит хийж, гажуудалд дүн шинжилгээ хийдэг байсан бол тэд хакердсаны ул мөрийг эрт анзаарах байсан (CI хакер нь нэг сарын турш илрээгүй). Өөр нэг асуудал Git-д бүх тохиргооны файлуудыг хадгалах нь бусад хостуудын аль нэгийг нь хакердсан тохиолдолд тэдгээрийн тохиргоог үнэлэх боломжтой болгосон. SSH-ээр дамжуулан дэд бүтцийн серверүүд рүү нэвтрэх аюулгүй дотоод сүлжээгээр хязгаарлагдаж, ямар ч гадаад хаягаар холбогдох боломжтой болсон.
Эх сурвалжopennet.ru
[: en]новые төвлөрсөн бус мессежийн платформ Matrix-ын дэд бүтцийг хакердсан тухай, өглөө. Халдагчид нэвтэрсэн асуудалтай холбоос бол 13-р сарын 4-нд хакердсан Женкинсийн тасралтгүй интеграцийн систем байв. Дараа нь Jenkins сервер дээр SSH агентаар дахин чиглүүлсэн администраторуудын аль нэгнийх нь нэвтрэлтийг таслан зогсоож, XNUMX-р сарын XNUMX-нд халдагчид бусад дэд бүтцийн серверүүд рүү нэвтрэх боломжтой болсон.
Хоёр дахь халдлагын үеэр matrix.org вэбсайтыг DNS параметрүүдийг өөрчилснөөр өөр сервер рүү (matrixnotorg.github.io) дахин чиглүүлж, эхний халдлагын үеэр саатуулсан Cloudflare контент дамжуулах системийн API түлхүүрийг ашигласан. Эхний хакердсаны дараа серверийн агуулгыг дахин бүтээхдээ Матрицын администраторууд зөвхөн шинэ хувийн түлхүүрүүдийг шинэчилж, Cloudflare-ийн түлхүүрийг шинэчлэхээ алдсан.
Хоёрдахь халдлагын үеэр матрицын серверүүд хөндөгдөөгүй, өөрчлөлт нь зөвхөн DNS дахь хаягийг солих замаар хязгаарлагдаж байв. Хэрэв хэрэглэгч эхний халдлагын дараа нууц үгээ өөрчилсөн бол хоёр дахь удаагаа солих шаардлагагүй болно. Гэхдээ нууц үг хараахан өөрчлөгдөөгүй байгаа бол нууц үгийн хэш бүхий мэдээллийн сан алдагдсан нь батлагдсан тул аль болох хурдан шинэчлэх шаардлагатай байна. Одоогийн төлөвлөгөө нь таныг дараагийн удаа нэвтрэх үед албадан нууц үг шинэчлэх үйл явцыг эхлүүлэх явдал юм.
Нууц үг алдагдсанаас гадна Debian Synapse репозитор болон Riot/Web хувилбаруудын багцад дижитал гарын үсэг үүсгэхэд ашигладаг GPG түлхүүрүүд халдагчдын гарт орсон нь батлагдсан. Түлхүүрүүд нууц үгээр хамгаалагдсан. Энэ үед түлхүүрүүдийг аль хэдийн хүчингүй болгосон. Түлхүүрүүдийг 4-р сарын 1.0.7-нд саатуулсан бөгөөд түүнээс хойш Synapse-ийн шинэчлэл гараагүй боловч Riot/Web клиент XNUMX гарсан (урьдчилсан шалгалтаар энэ нь эвдэрч гэмтээгүй гэдгийг харуулсан).
Халдлага үйлдэгч GitHub дээр халдлагын талаарх дэлгэрэнгүй мэдээлэл, хамгаалалтыг нэмэгдүүлэх зөвлөмж бүхий цуврал тайланг нийтэлсэн боловч устгасан. Гэсэн хэдий ч архивлагдсан тайлангууд .
Жишээлбэл, халдагч Матрикс хөгжүүлэгчид үүнийг хийх ёстой гэж мэдээлсэн хоёр хүчин зүйлийн баталгаажуулалт эсвэл ядаж SSH агентын дахин чиглүүлэлт ("ForwardAgent тийм") ашиглаагүй тохиолдолд дэд бүтцэд нэвтрэх нь хаагдах болно. Хөгжүүлэгчид зөвхөн шаардлагатай давуу эрх олгох замаар халдлагын даамжрах явцыг зогсоож болно бүх серверүүд дээр.
Нэмж дурдахад дижитал гарын үсэг үүсгэх түлхүүрүүдийг үйлдвэрлэлийн серверүүд дээр хадгалах практикийг шүүмжилсэн тул ийм зорилгоор тусдаа тусгаарлагдсан хостыг хуваарилах хэрэгтэй. Довтолж байна , хэрэв Матриц хөгжүүлэгчид бүртгэлд тогтмол аудит хийж, гажуудалд дүн шинжилгээ хийдэг байсан бол тэд хакердсаны ул мөрийг эрт анзаарах байсан (CI хакер нь нэг сарын турш илрээгүй). Өөр нэг асуудал Git-д бүх тохиргооны файлуудыг хадгалах нь бусад хостуудын аль нэгийг нь хакердсан тохиолдолд тэдгээрийн тохиргоог үнэлэх боломжтой болгосон. SSH-ээр дамжуулан дэд бүтцийн серверүүд рүү нэвтрэх аюулгүй дотоод сүлжээгээр хязгаарлагдаж, ямар ч гадаад хаягаар холбогдох боломжтой болсон.
Эх сурвалж: opennet.ru
[:]