новые o włamaniu do infrastruktury zdecentralizowanej platformy przesyłania wiadomości Matrix, o której rankiem. Problematycznym ogniwem, przez które przeniknęli napastnicy, był system ciągłej integracji Jenkins, który został zhakowany 13 marca. Następnie na serwerze Jenkins przechwycono login jednego z administratorów przekierowany przez agenta SSH, a 4 kwietnia atakujący uzyskali dostęp do serwerów innej infrastruktury.
Podczas drugiego ataku strona matrix.org została przekierowana na inny serwer (matrixnotorg.github.io) poprzez zmianę parametrów DNS, wykorzystując klucz do API systemu dostarczania treści Cloudflare przechwycony podczas pierwszego ataku. Podczas odbudowy zawartości serwerów po pierwszym włamaniu administratorzy Matrixa zaktualizowali jedynie nowe klucze osobiste i pominęli aktualizację klucza do Cloudflare.
Podczas drugiego ataku serwery Matrix pozostały nietknięte, zmiany ograniczyły się jedynie do podmiany adresów w DNS. Jeśli użytkownik zmienił już hasło po pierwszym ataku, nie ma potrzeby jego zmiany po raz drugi. Jeśli jednak hasło nie zostało jeszcze zmienione, należy je jak najszybciej zaktualizować, ponieważ potwierdzono wyciek bazy danych ze skrótami haseł. Obecny plan zakłada zainicjowanie procesu wymuszonego resetowania hasła przy następnym logowaniu.
Oprócz wycieku haseł potwierdzono również, że w ręce atakujących wpadły klucze GPG używane do generowania podpisów cyfrowych dla pakietów w repozytorium Debian Synapse i wydaniach Riot/Web. Klucze były chronione hasłem. W tym momencie klucze zostały już unieważnione. Klucze zostały przechwycone 4 kwietnia i od tego czasu nie wydano żadnych aktualizacji Synapse, ale wydano klienta Riot/Web w wersji 1.0.7 (wstępne sprawdzenie wykazało, że nie doszło do naruszenia bezpieczeństwa).
Osoba atakująca zamieściła na GitHubie serię raportów zawierających szczegóły ataku i wskazówki dotyczące zwiększenia ochrony, ale zostały one usunięte. Jednak zarchiwizowane raporty .
Na przykład osoba atakująca poinformowała, że powinni to zrobić programiści Matrix uwierzytelnianie dwuskładnikowe lub przynajmniej nie korzystanie z przekierowania agenta SSH („ForwardAgent tak”), wówczas penetracja infrastruktury zostałaby zablokowana. Eskalację ataku można również powstrzymać, przyznając programistom jedynie niezbędne uprawnienia, a nie na wszystkich serwerach.
Dodatkowo krytykowano praktykę przechowywania kluczy do tworzenia podpisów cyfrowych na serwerach produkcyjnych, dlatego należy wyznaczyć do tego osobny, izolowany host. Wciąż atakuję , że gdyby programiści Matrix regularnie sprawdzali logi i analizowali anomalie, wcześnie zauważyliby ślady włamania (włamanie do CI pozostało niewykryte przez miesiąc). Kolejny problem przechowywanie wszystkich plików konfiguracyjnych w Git, co umożliwiło ocenę ustawień innych hostów w przypadku zhakowania jednego z nich. Dostęp poprzez SSH do serwerów infrastruktury ograniczone do bezpiecznej sieci wewnętrznej, co umożliwiało połączenie się z nimi z dowolnego adresu zewnętrznego.
źródłoopennet.ru
[Pl]новые o włamaniu do infrastruktury zdecentralizowanej platformy przesyłania wiadomości Matrix, o której rankiem. Problematycznym ogniwem, przez które przeniknęli napastnicy, był system ciągłej integracji Jenkins, który został zhakowany 13 marca. Następnie na serwerze Jenkins przechwycono login jednego z administratorów przekierowany przez agenta SSH, a 4 kwietnia atakujący uzyskali dostęp do serwerów innej infrastruktury.
Podczas drugiego ataku strona matrix.org została przekierowana na inny serwer (matrixnotorg.github.io) poprzez zmianę parametrów DNS, wykorzystując klucz do API systemu dostarczania treści Cloudflare przechwycony podczas pierwszego ataku. Podczas odbudowy zawartości serwerów po pierwszym włamaniu administratorzy Matrixa zaktualizowali jedynie nowe klucze osobiste i pominęli aktualizację klucza do Cloudflare.
Podczas drugiego ataku serwery Matrix pozostały nietknięte, zmiany ograniczyły się jedynie do podmiany adresów w DNS. Jeśli użytkownik zmienił już hasło po pierwszym ataku, nie ma potrzeby jego zmiany po raz drugi. Jeśli jednak hasło nie zostało jeszcze zmienione, należy je jak najszybciej zaktualizować, ponieważ potwierdzono wyciek bazy danych ze skrótami haseł. Obecny plan zakłada zainicjowanie procesu wymuszonego resetowania hasła przy następnym logowaniu.
Oprócz wycieku haseł potwierdzono również, że w ręce atakujących wpadły klucze GPG używane do generowania podpisów cyfrowych dla pakietów w repozytorium Debian Synapse i wydaniach Riot/Web. Klucze były chronione hasłem. W tym momencie klucze zostały już unieważnione. Klucze zostały przechwycone 4 kwietnia i od tego czasu nie wydano żadnych aktualizacji Synapse, ale wydano klienta Riot/Web w wersji 1.0.7 (wstępne sprawdzenie wykazało, że nie doszło do naruszenia bezpieczeństwa).
Osoba atakująca zamieściła na GitHubie serię raportów zawierających szczegóły ataku i wskazówki dotyczące zwiększenia ochrony, ale zostały one usunięte. Jednak zarchiwizowane raporty .
Na przykład osoba atakująca poinformowała, że powinni to zrobić programiści Matrix uwierzytelnianie dwuskładnikowe lub przynajmniej nie korzystanie z przekierowania agenta SSH („ForwardAgent tak”), wówczas penetracja infrastruktury zostałaby zablokowana. Eskalację ataku można również powstrzymać, przyznając programistom jedynie niezbędne uprawnienia, a nie na wszystkich serwerach.
Dodatkowo krytykowano praktykę przechowywania kluczy do tworzenia podpisów cyfrowych na serwerach produkcyjnych, dlatego należy wyznaczyć do tego osobny, izolowany host. Wciąż atakuję , że gdyby programiści Matrix regularnie sprawdzali logi i analizowali anomalie, wcześnie zauważyliby ślady włamania (włamanie do CI pozostało niewykryte przez miesiąc). Kolejny problem przechowywanie wszystkich plików konfiguracyjnych w Git, co umożliwiło ocenę ustawień innych hostów w przypadku zhakowania jednego z nich. Dostęp poprzez SSH do serwerów infrastruktury ograniczone do bezpiecznej sieci wewnętrznej, co umożliwiało połączenie się z nimi z dowolnego adresu zewnętrznego.
Źródło: opennet.ru
[:]