новые o hacknutí infraštruktúry decentralizovanej platformy na zasielanie správ Matrix, o ktorej ráno. Problémovým článkom, cez ktorý útočníci prenikli, bol systém kontinuálnej integrácie Jenkins, ktorý bol hacknutý 13. marca. Potom bolo na serveri Jenkins zachytené prihlásenie jedného z administrátorov, presmerované agentom SSH, a 4. apríla útočníci získali prístup k iným serverom infraštruktúry.
Počas druhého útoku bola webová stránka matrix.org presmerovaná na iný server (matrixnotorg.github.io) zmenou parametrov DNS pomocou kľúča k API systému na doručovanie obsahu Cloudflare zachyteného počas prvého útoku. Pri prestavbe obsahu serverov po prvom hackovaní správcovia Matrix aktualizovali iba nové osobné kľúče a zmeškali aktualizáciu kľúča na Cloudflare.
Počas druhého útoku zostali servery Matrix nedotknuté, zmeny sa obmedzili len na nahradenie adries v DNS. Ak už používateľ zmenil heslo po prvom útoku, nie je potrebné ho meniť druhýkrát. Ak však heslo ešte nebolo zmenené, je potrebné ho čo najskôr aktualizovať, pretože bol potvrdený únik databázy s hashmi hesiel. Aktuálnym plánom je spustiť proces núteného obnovenia hesla pri ďalšom prihlásení.
Okrem úniku hesiel sa tiež potvrdilo, že do rúk útočníkov sa dostali kľúče GPG používané na generovanie digitálnych podpisov pre balíčky v úložisku Debian Synapse a vydaniach Riot/Web. Kľúče boli chránené heslom. Kľúče už boli v tejto chvíli odvolané. Kľúče boli zachytené 4. apríla, odvtedy neboli vydané žiadne aktualizácie Synapse, ale bol vydaný Riot/Web klient 1.0.7 (predbežná kontrola ukázala, že nebol kompromitovaný).
Útočník zverejnil na GitHub sériu správ s podrobnosťami o útoku a tipmi na zvýšenie ochrany, ktoré však boli vymazané. Archivované správy však .
Útočník napríklad hlásil, že vývojári Matrix by mali dvojfaktorovú autentifikáciu alebo aspoň nepoužívanie presmerovania agenta SSH („ForwardAgent áno“), potom by bol zablokovaný prienik do infraštruktúry. Eskaláciu útoku je možné zastaviť aj tým, že vývojárom poskytnete iba potrebné privilégiá na všetkých serveroch.
Okrem toho bola kritizovaná prax ukladania kľúčov na vytváranie digitálnych podpisov na produkčných serveroch; na takéto účely by mal byť pridelený samostatný izolovaný hostiteľ. Stále útočí , že ak by vývojári Matrix pravidelne kontrolovali protokoly a analyzovali anomálie, všimli by si stopy hacku už na začiatku (hacknutie CI zostalo mesiac neodhalené). Iný problém uloženie všetkých konfiguračných súborov v Git, čo umožnilo vyhodnotiť nastavenia iných hostiteľov, ak bol jeden z nich hacknutý. Prístup cez SSH k serverom infraštruktúry obmedzené na zabezpečenú vnútornú sieť, ktorá umožňovala pripojiť sa k nim z akejkoľvek externej adresy.
Zdrojopennet.ru
[En]новые o hacknutí infraštruktúry decentralizovanej platformy na zasielanie správ Matrix, o ktorej ráno. Problémovým článkom, cez ktorý útočníci prenikli, bol systém kontinuálnej integrácie Jenkins, ktorý bol hacknutý 13. marca. Potom bolo na serveri Jenkins zachytené prihlásenie jedného z administrátorov, presmerované agentom SSH, a 4. apríla útočníci získali prístup k iným serverom infraštruktúry.
Počas druhého útoku bola webová stránka matrix.org presmerovaná na iný server (matrixnotorg.github.io) zmenou parametrov DNS pomocou kľúča k API systému na doručovanie obsahu Cloudflare zachyteného počas prvého útoku. Pri prestavbe obsahu serverov po prvom hackovaní správcovia Matrix aktualizovali iba nové osobné kľúče a zmeškali aktualizáciu kľúča na Cloudflare.
Počas druhého útoku zostali servery Matrix nedotknuté, zmeny sa obmedzili len na nahradenie adries v DNS. Ak už používateľ zmenil heslo po prvom útoku, nie je potrebné ho meniť druhýkrát. Ak však heslo ešte nebolo zmenené, je potrebné ho čo najskôr aktualizovať, pretože bol potvrdený únik databázy s hashmi hesiel. Aktuálnym plánom je spustiť proces núteného obnovenia hesla pri ďalšom prihlásení.
Okrem úniku hesiel sa tiež potvrdilo, že do rúk útočníkov sa dostali kľúče GPG používané na generovanie digitálnych podpisov pre balíčky v úložisku Debian Synapse a vydaniach Riot/Web. Kľúče boli chránené heslom. Kľúče už boli v tejto chvíli odvolané. Kľúče boli zachytené 4. apríla, odvtedy neboli vydané žiadne aktualizácie Synapse, ale bol vydaný Riot/Web klient 1.0.7 (predbežná kontrola ukázala, že nebol kompromitovaný).
Útočník zverejnil na GitHub sériu správ s podrobnosťami o útoku a tipmi na zvýšenie ochrany, ktoré však boli vymazané. Archivované správy však .
Útočník napríklad hlásil, že vývojári Matrix by mali dvojfaktorovú autentifikáciu alebo aspoň nepoužívanie presmerovania agenta SSH („ForwardAgent áno“), potom by bol zablokovaný prienik do infraštruktúry. Eskaláciu útoku je možné zastaviť aj tým, že vývojárom poskytnete iba potrebné privilégiá na všetkých serveroch.
Okrem toho bola kritizovaná prax ukladania kľúčov na vytváranie digitálnych podpisov na produkčných serveroch; na takéto účely by mal byť pridelený samostatný izolovaný hostiteľ. Stále útočí , že ak by vývojári Matrix pravidelne kontrolovali protokoly a analyzovali anomálie, všimli by si stopy hacku už na začiatku (hacknutie CI zostalo mesiac neodhalené). Iný problém uloženie všetkých konfiguračných súborov v Git, čo umožnilo vyhodnotiť nastavenia iných hostiteľov, ak bol jeden z nich hacknutý. Prístup cez SSH k serverom infraštruktúry obmedzené na zabezpečenú vnútornú sieť, ktorá umožňovala pripojiť sa k nim z akejkoľvek externej adresy.
Zdroj: opennet.ru
[:]