Π½ΠΎΠ²ΡΠ΅ mengenai penggodaman infrastruktur platform pemesejan terdesentralisasi Matrix, mengenainya pada waktu pagi. Pautan bermasalah di mana penyerang menembusi ialah sistem penyepaduan berterusan Jenkins, yang telah digodam pada 13 Mac. Kemudian, pada pelayan Jenkins, log masuk salah seorang pentadbir, yang diubah hala oleh ejen SSH, telah dipintas, dan pada 4 April, penyerang mendapat akses kepada pelayan infrastruktur lain.
Semasa serangan kedua, tapak web matrix.org telah diubah hala ke pelayan lain (matrixnotorg.github.io) dengan menukar parameter DNS, menggunakan kunci kepada API sistem penghantaran kandungan Cloudflare yang dipintas semasa serangan pertama. Apabila membina semula kandungan pelayan selepas penggodaman pertama, pentadbir Matrix hanya mengemas kini kunci peribadi baharu dan terlepas mengemas kini kunci Cloudflare.
Semasa serangan kedua, pelayan Matrix kekal tidak disentuh; perubahan terhad hanya untuk menggantikan alamat dalam DNS. Jika pengguna telah menukar kata laluan selepas serangan pertama, tidak perlu menukarnya untuk kali kedua. Tetapi jika kata laluan masih belum ditukar, ia perlu dikemas kini secepat mungkin, kerana kebocoran pangkalan data dengan cincang kata laluan telah disahkan. Pelan semasa adalah untuk memulakan proses penetapan semula kata laluan secara paksa apabila anda log masuk seterusnya.
Selain kebocoran kata laluan, ia juga telah disahkan bahawa kunci GPG yang digunakan untuk menjana tandatangan digital untuk pakej dalam repositori Debian Synapse dan keluaran Riot/Web telah jatuh ke tangan penyerang. Kuncinya dilindungi kata laluan. Kunci telah dibatalkan pada masa ini. Kekunci telah dipintas pada 4 April, sejak itu tiada kemas kini Synapse telah dikeluarkan, tetapi klien Riot/Web 1.0.7 telah dikeluarkan (semakan awal menunjukkan bahawa ia tidak terjejas).
Penyerang menyiarkan satu siri laporan di GitHub dengan butiran serangan dan petua untuk meningkatkan perlindungan, tetapi ia telah dipadamkan. Walau bagaimanapun, laporan yang diarkibkan .
Sebagai contoh, penyerang melaporkan bahawa pembangun Matrix harus pengesahan dua faktor atau sekurang-kurangnya tidak menggunakan pengalihan ejen SSH (βForwardAgent yaβ), maka penembusan ke dalam infrastruktur akan disekat. Peningkatan serangan juga boleh dihentikan dengan memberi pemaju hanya keistimewaan yang diperlukan, bukannya pada semua pelayan.
Selain itu, amalan menyimpan kunci untuk mencipta tandatangan digital pada pelayan pengeluaran telah dikritik; hos terpencil yang berasingan harus diperuntukkan untuk tujuan tersebut. Masih menyerang , bahawa jika pembangun Matrix telah mengaudit log secara kerap dan menganalisis anomali, mereka akan menyedari kesan penggodaman awal (penggodaman CI tidak dapat dikesan selama sebulan). Masalah lain menyimpan semua fail konfigurasi dalam Git, yang memungkinkan untuk menilai tetapan hos lain jika salah satu daripadanya telah digodam. Akses melalui SSH ke pelayan infrastruktur terhad kepada rangkaian dalaman yang selamat, yang memungkinkan untuk menyambung kepada mereka dari mana-mana alamat luaran.
Sourceopennet.ru
[: en]Π½ΠΎΠ²ΡΠ΅ mengenai penggodaman infrastruktur platform pemesejan terdesentralisasi Matrix, mengenainya pada waktu pagi. Pautan bermasalah di mana penyerang menembusi ialah sistem penyepaduan berterusan Jenkins, yang telah digodam pada 13 Mac. Kemudian, pada pelayan Jenkins, log masuk salah seorang pentadbir, yang diubah hala oleh ejen SSH, telah dipintas, dan pada 4 April, penyerang mendapat akses kepada pelayan infrastruktur lain.
Semasa serangan kedua, tapak web matrix.org telah diubah hala ke pelayan lain (matrixnotorg.github.io) dengan menukar parameter DNS, menggunakan kunci kepada API sistem penghantaran kandungan Cloudflare yang dipintas semasa serangan pertama. Apabila membina semula kandungan pelayan selepas penggodaman pertama, pentadbir Matrix hanya mengemas kini kunci peribadi baharu dan terlepas mengemas kini kunci Cloudflare.
Semasa serangan kedua, pelayan Matrix kekal tidak disentuh; perubahan terhad hanya untuk menggantikan alamat dalam DNS. Jika pengguna telah menukar kata laluan selepas serangan pertama, tidak perlu menukarnya untuk kali kedua. Tetapi jika kata laluan masih belum ditukar, ia perlu dikemas kini secepat mungkin, kerana kebocoran pangkalan data dengan cincang kata laluan telah disahkan. Pelan semasa adalah untuk memulakan proses penetapan semula kata laluan secara paksa apabila anda log masuk seterusnya.
Selain kebocoran kata laluan, ia juga telah disahkan bahawa kunci GPG yang digunakan untuk menjana tandatangan digital untuk pakej dalam repositori Debian Synapse dan keluaran Riot/Web telah jatuh ke tangan penyerang. Kuncinya dilindungi kata laluan. Kunci telah dibatalkan pada masa ini. Kekunci telah dipintas pada 4 April, sejak itu tiada kemas kini Synapse telah dikeluarkan, tetapi klien Riot/Web 1.0.7 telah dikeluarkan (semakan awal menunjukkan bahawa ia tidak terjejas).
Penyerang menyiarkan satu siri laporan di GitHub dengan butiran serangan dan petua untuk meningkatkan perlindungan, tetapi ia telah dipadamkan. Walau bagaimanapun, laporan yang diarkibkan .
Sebagai contoh, penyerang melaporkan bahawa pembangun Matrix harus pengesahan dua faktor atau sekurang-kurangnya tidak menggunakan pengalihan ejen SSH (βForwardAgent yaβ), maka penembusan ke dalam infrastruktur akan disekat. Peningkatan serangan juga boleh dihentikan dengan memberi pemaju hanya keistimewaan yang diperlukan, bukannya pada semua pelayan.
Selain itu, amalan menyimpan kunci untuk mencipta tandatangan digital pada pelayan pengeluaran telah dikritik; hos terpencil yang berasingan harus diperuntukkan untuk tujuan tersebut. Masih menyerang , bahawa jika pembangun Matrix telah mengaudit log secara kerap dan menganalisis anomali, mereka akan menyedari kesan penggodaman awal (penggodaman CI tidak dapat dikesan selama sebulan). Masalah lain menyimpan semua fail konfigurasi dalam Git, yang memungkinkan untuk menilai tetapan hos lain jika salah satu daripadanya telah digodam. Akses melalui SSH ke pelayan infrastruktur terhad kepada rangkaian dalaman yang selamat, yang memungkinkan untuk menyambung kepada mereka dari mana-mana alamat luaran.
Sumber: opennet.ru
[:]