новые o vdoru v infrastrukturo platforme za decentralizirano sporočanje Matrix, o kateri zjutraj. Problematična povezava, prek katere so napadalci prodrli, je bil Jenkinsov kontinuirani integracijski sistem, v katerega so vdrli 13. marca. Nato je bila na strežniku Jenkins prestrežena prijava enega od administratorjev, ki jo je preusmeril SSH agent, in 4. aprila so napadalci pridobili dostop do drugih infrastrukturnih strežnikov.
Med drugim napadom je bilo spletno mesto matrix.org preusmerjeno na drug strežnik (matrixnotorg.github.io) s spremembo parametrov DNS z uporabo ključa API-ja sistema za dostavo vsebine Cloudflare, prestreženega med prvim napadom. Pri obnovi vsebine strežnikov po prvem vdoru so skrbniki Matrix posodobili samo nove osebne ključe in zamudili posodobitev ključa za Cloudflare.
Med drugim napadom so strežniki Matrix ostali nedotaknjeni, spremembe so bile omejene le na zamenjavo naslovov v DNS. Če je uporabnik že spremenil geslo po prvem napadu, ga ni treba spreminjati drugič. Če pa geslo še ni bilo spremenjeno, ga je treba čim prej posodobiti, saj je potrjeno uhajanje baze podatkov z zgoščenimi vrednostmi gesel. Trenutni načrt je sprožiti postopek prisilne ponastavitve gesla, ko se naslednjič prijavite.
Poleg uhajanja gesel je bilo tudi potrjeno, da so ključi GPG, ki se uporabljajo za ustvarjanje digitalnih podpisov za pakete v skladišču Debian Synapse in izdajah Riot/Web, padli v roke napadalcem. Ključi so bili zaščiteni z geslom. Ključi so bili v tem trenutku že preklicani. Ključi so bili prestreženi 4. aprila, od takrat ni bila izdana nobena posodobitev Synapse, je pa bil izdan odjemalec Riot/Web 1.0.7 (preliminarno preverjanje je pokazalo, da ni bil ogrožen).
Napadalec je na GitHub objavil vrsto poročil s podrobnostmi o napadu in nasveti za povečanje zaščite, ki pa so bila izbrisana. Vendar pa arhivirana poročila .
Napadalec je na primer poročal, da bi morali razvijalci Matrixa dvofaktorsko avtentikacijo ali vsaj neuporabo preusmeritve agenta SSH (»ForwardAgent yes«), potem bi bil prodor v infrastrukturo blokiran. Stopnjevanje napada bi lahko zaustavili tudi tako, da bi razvijalcem dali le potrebne privilegije, namesto da bi na vseh strežnikih.
Poleg tega je bila kritizirana praksa shranjevanja ključev za ustvarjanje digitalnih podpisov na produkcijskih strežnikih, za katere bi bilo treba dodeliti ločenega izoliranega gostitelja. Še vedno napadajo , če bi razvijalci Matrixa redno pregledovali dnevnike in analizirali anomalije, bi zgodaj opazili sledi vdora (vdor CI ni bil odkrit en mesec). Druga težava shranjevanje vseh konfiguracijskih datotek v Git, kar je omogočilo ovrednotenje nastavitev drugih gostiteljev, če je eden od njih vdrl. Dostop preko SSH do infrastrukturnih strežnikov omejeni na varno interno omrežje, ki je omogočalo povezavo z njimi iz katerega koli zunanjega naslova.
Viropennet.ru
[En]новые o vdoru v infrastrukturo platforme za decentralizirano sporočanje Matrix, o kateri zjutraj. Problematična povezava, prek katere so napadalci prodrli, je bil Jenkinsov kontinuirani integracijski sistem, v katerega so vdrli 13. marca. Nato je bila na strežniku Jenkins prestrežena prijava enega od administratorjev, ki jo je preusmeril SSH agent, in 4. aprila so napadalci pridobili dostop do drugih infrastrukturnih strežnikov.
Med drugim napadom je bilo spletno mesto matrix.org preusmerjeno na drug strežnik (matrixnotorg.github.io) s spremembo parametrov DNS z uporabo ključa API-ja sistema za dostavo vsebine Cloudflare, prestreženega med prvim napadom. Pri obnovi vsebine strežnikov po prvem vdoru so skrbniki Matrix posodobili samo nove osebne ključe in zamudili posodobitev ključa za Cloudflare.
Med drugim napadom so strežniki Matrix ostali nedotaknjeni, spremembe so bile omejene le na zamenjavo naslovov v DNS. Če je uporabnik že spremenil geslo po prvem napadu, ga ni treba spreminjati drugič. Če pa geslo še ni bilo spremenjeno, ga je treba čim prej posodobiti, saj je potrjeno uhajanje baze podatkov z zgoščenimi vrednostmi gesel. Trenutni načrt je sprožiti postopek prisilne ponastavitve gesla, ko se naslednjič prijavite.
Poleg uhajanja gesel je bilo tudi potrjeno, da so ključi GPG, ki se uporabljajo za ustvarjanje digitalnih podpisov za pakete v skladišču Debian Synapse in izdajah Riot/Web, padli v roke napadalcem. Ključi so bili zaščiteni z geslom. Ključi so bili v tem trenutku že preklicani. Ključi so bili prestreženi 4. aprila, od takrat ni bila izdana nobena posodobitev Synapse, je pa bil izdan odjemalec Riot/Web 1.0.7 (preliminarno preverjanje je pokazalo, da ni bil ogrožen).
Napadalec je na GitHub objavil vrsto poročil s podrobnostmi o napadu in nasveti za povečanje zaščite, ki pa so bila izbrisana. Vendar pa arhivirana poročila .
Napadalec je na primer poročal, da bi morali razvijalci Matrixa dvofaktorsko avtentikacijo ali vsaj neuporabo preusmeritve agenta SSH (»ForwardAgent yes«), potem bi bil prodor v infrastrukturo blokiran. Stopnjevanje napada bi lahko zaustavili tudi tako, da bi razvijalcem dali le potrebne privilegije, namesto da bi na vseh strežnikih.
Poleg tega je bila kritizirana praksa shranjevanja ključev za ustvarjanje digitalnih podpisov na produkcijskih strežnikih, za katere bi bilo treba dodeliti ločenega izoliranega gostitelja. Še vedno napadajo , če bi razvijalci Matrixa redno pregledovali dnevnike in analizirali anomalije, bi zgodaj opazili sledi vdora (vdor CI ni bil odkrit en mesec). Druga težava shranjevanje vseh konfiguracijskih datotek v Git, kar je omogočilo ovrednotenje nastavitev drugih gostiteljev, če je eden od njih vdrl. Dostop preko SSH do infrastrukturnih strežnikov omejeni na varno interno omrežje, ki je omogočalo povezavo z njimi iz katerega koli zunanjega naslova.
Vir: opennet.ru
[:]