новые om hacking av infrastrukturen til den desentraliserte meldingsplattformen Matrix, om hvilke om morgenen. Den problematiske koblingen som angriperne penetrerte var Jenkins kontinuerlige integreringssystem, som ble hacket 13. mars. Så, på Jenkins-serveren, ble innloggingen til en av administratorene, omdirigert av en SSH-agent, fanget opp, og 4. april fikk angriperne tilgang til andre infrastrukturservere.
Under det andre angrepet ble matrix.org-nettstedet omdirigert til en annen server (matrixnotorg.github.io) ved å endre DNS-parameterne, ved å bruke nøkkelen til Cloudflare innholdsleveringssystem API som ble fanget opp under det første angrepet. Ved gjenoppbygging av innholdet på serverne etter det første hacket, oppdaterte Matrix-administratorer kun nye personlige nøkler og savnet å oppdatere nøkkelen til Cloudflare.
Under det andre angrepet forble Matrix-serverne urørt; endringer var begrenset til kun å erstatte adresser i DNS. Hvis brukeren allerede har endret passordet etter det første angrepet, er det ikke nødvendig å endre det en gang til. Men hvis passordet ennå ikke er endret, må det oppdateres så snart som mulig, siden lekkasjen av databasen med passordhasher er bekreftet. Den nåværende planen er å starte en tvungen tilbakestilling av passord neste gang du logger på.
I tillegg til lekkasje av passord, har det også blitt bekreftet at GPG-nøkler som brukes til å generere digitale signaturer for pakker i Debian Synapse-lageret og Riot/Web-utgivelser har falt i hendene på angriperne. Nøklene var passordbeskyttet. Nøklene er allerede tilbakekalt på dette tidspunktet. Nøklene ble snappet opp 4. april, siden da har ingen Synapse-oppdateringer blitt utgitt, men Riot/Web-klienten 1.0.7 ble utgitt (en foreløpig sjekk viste at den ikke var kompromittert).
Angriperen la ut en serie rapporter på GitHub med detaljer om angrepet og tips for å øke beskyttelsen, men de ble slettet. Imidlertid rapporterer de arkiverte .
For eksempel rapporterte angriperen at Matrix-utviklerne burde tofaktorautentisering eller i det minste ikke å bruke SSH-agentomdirigering ("ForwardAgent yes"), så vil penetrering i infrastrukturen bli blokkert. Eskaleringen av angrepet kan også stoppes ved å gi utviklere bare de nødvendige privilegiene, i stedet for på alle servere.
I tillegg ble praksisen med å lagre nøkler for å lage digitale signaturer på produksjonsservere kritisert; en separat isolert vert bør tildeles for slike formål. Angriper fortsatt , at hvis Matrix-utviklere regelmessig hadde revidert logger og analysert anomalier, ville de ha lagt merke til spor etter et hack tidlig (CI-hakket ble uoppdaget i en måned). Et annet problem lagring av alle konfigurasjonsfiler i Git, noe som gjorde det mulig å evaluere innstillingene til andre verter hvis en av dem ble hacket. Tilgang via SSH til infrastrukturservere begrenset til et sikkert internt nettverk, som gjorde det mulig å koble til dem fra hvilken som helst ekstern adresse.
Kildeopennet.ru
[En]новые om hacking av infrastrukturen til den desentraliserte meldingsplattformen Matrix, om hvilke om morgenen. Den problematiske koblingen som angriperne penetrerte var Jenkins kontinuerlige integreringssystem, som ble hacket 13. mars. Så, på Jenkins-serveren, ble innloggingen til en av administratorene, omdirigert av en SSH-agent, fanget opp, og 4. april fikk angriperne tilgang til andre infrastrukturservere.
Under det andre angrepet ble matrix.org-nettstedet omdirigert til en annen server (matrixnotorg.github.io) ved å endre DNS-parameterne, ved å bruke nøkkelen til Cloudflare innholdsleveringssystem API som ble fanget opp under det første angrepet. Ved gjenoppbygging av innholdet på serverne etter det første hacket, oppdaterte Matrix-administratorer kun nye personlige nøkler og savnet å oppdatere nøkkelen til Cloudflare.
Under det andre angrepet forble Matrix-serverne urørt; endringer var begrenset til kun å erstatte adresser i DNS. Hvis brukeren allerede har endret passordet etter det første angrepet, er det ikke nødvendig å endre det en gang til. Men hvis passordet ennå ikke er endret, må det oppdateres så snart som mulig, siden lekkasjen av databasen med passordhasher er bekreftet. Den nåværende planen er å starte en tvungen tilbakestilling av passord neste gang du logger på.
I tillegg til lekkasje av passord, har det også blitt bekreftet at GPG-nøkler som brukes til å generere digitale signaturer for pakker i Debian Synapse-lageret og Riot/Web-utgivelser har falt i hendene på angriperne. Nøklene var passordbeskyttet. Nøklene er allerede tilbakekalt på dette tidspunktet. Nøklene ble snappet opp 4. april, siden da har ingen Synapse-oppdateringer blitt utgitt, men Riot/Web-klienten 1.0.7 ble utgitt (en foreløpig sjekk viste at den ikke var kompromittert).
Angriperen la ut en serie rapporter på GitHub med detaljer om angrepet og tips for å øke beskyttelsen, men de ble slettet. Imidlertid rapporterer de arkiverte .
For eksempel rapporterte angriperen at Matrix-utviklerne burde tofaktorautentisering eller i det minste ikke å bruke SSH-agentomdirigering ("ForwardAgent yes"), så vil penetrering i infrastrukturen bli blokkert. Eskaleringen av angrepet kan også stoppes ved å gi utviklere bare de nødvendige privilegiene, i stedet for på alle servere.
I tillegg ble praksisen med å lagre nøkler for å lage digitale signaturer på produksjonsservere kritisert; en separat isolert vert bør tildeles for slike formål. Angriper fortsatt , at hvis Matrix-utviklere regelmessig hadde revidert logger og analysert anomalier, ville de ha lagt merke til spor etter et hack tidlig (CI-hakket ble uoppdaget i en måned). Et annet problem lagring av alle konfigurasjonsfiler i Git, noe som gjorde det mulig å evaluere innstillingene til andre verter hvis en av dem ble hacket. Tilgang via SSH til infrastrukturservere begrenset til et sikkert internt nettverk, som gjorde det mulig å koble til dem fra hvilken som helst ekstern adresse.
Kilde: opennet.ru
[:]