новые për hakimin e infrastrukturës së platformës së decentralizuar të mesazheve Matrix, për të cilën ne mengjes. Lidhja problematike përmes së cilës depërtuan sulmuesit ishte sistemi i integrimit të vazhdueshëm Jenkins, i cili u hakerua më 13 mars. Më pas, në serverin Jenkins, hyrja e njërit prej administratorëve, e ridrejtuar nga një agjent SSH, u kap dhe më 4 prill, sulmuesit fituan akses në serverë të tjerë të infrastrukturës.
Gjatë sulmit të dytë, faqja e internetit matrix.org u ridrejtua në një server tjetër (matrixnotorg.github.io) duke ndryshuar parametrat DNS, duke përdorur çelësin për API-në e sistemit të shpërndarjes së përmbajtjes Cloudflare të përgjuar gjatë sulmit të parë. Kur rindërtonin përmbajtjen e serverëve pas hakimit të parë, administratorët e Matrix përditësuan vetëm çelësat e rinj personalë dhe humbën përditësimin e çelësit në Cloudflare.
Gjatë sulmit të dytë, serverët Matrix mbetën të paprekur; ndryshimet u kufizuan vetëm në zëvendësimin e adresave në DNS. Nëse përdoruesi e ka ndryshuar tashmë fjalëkalimin pas sulmit të parë, nuk ka nevojë ta ndryshojë atë për herë të dytë. Por nëse fjalëkalimi nuk është ndryshuar ende, ai duhet të përditësohet sa më shpejt që të jetë e mundur, pasi është konfirmuar rrjedhja e bazës së të dhënave me hash fjalëkalimet. Plani aktual është të fillojë një proces rivendosjeje të detyruar të fjalëkalimit herën tjetër që të identifikoheni.
Përveç rrjedhjes së fjalëkalimeve, është konfirmuar gjithashtu se çelësat GPG të përdorur për të gjeneruar nënshkrime dixhitale për paketat në depon e Debian Synapse dhe lëshimet e Riot/Web kanë rënë në duart e sulmuesve. Çelësat ishin të mbrojtur me fjalëkalim. Çelësat janë hequr tashmë në këtë moment. Çelësat u kapën më 4 prill, që atëherë nuk është lëshuar asnjë përditësim i Synapse, por klienti Riot/Web 1.0.7 u lirua (një kontroll paraprak tregoi se ai nuk ishte komprometuar).
Sulmuesi postoi një seri raportesh në GitHub me detaje të sulmit dhe këshilla për rritjen e mbrojtjes, por ato u fshinë. Megjithatë, raportet e arkivuara .
Për shembull, sulmuesi raportoi se zhvilluesit e Matrix duhet vërtetimi me dy faktorë ose të paktën mos përdorimi i ridrejtimit të agjentit SSH (“ForwardAgent po”), atëherë do të bllokohej depërtimi në infrastrukturë. Përshkallëzimi i sulmit gjithashtu mund të ndalet duke u dhënë zhvilluesve vetëm privilegjet e nevojshme, dhe jo në të gjithë serverët.
Për më tepër, praktika e ruajtjes së çelësave për krijimin e nënshkrimeve dixhitale në serverët e prodhimit u kritikua; një host i veçantë i izoluar duhet të ndahet për qëllime të tilla. Ende duke sulmuar , që nëse zhvilluesit e Matrix do të kishin audituar rregullisht regjistrat dhe do të kishin analizuar anomalitë, ata do të kishin vënë re gjurmët e një hakimi që herët (haku CI mbeti i pazbuluar për një muaj). Një problem tjetër ruajtja e të gjithë skedarëve të konfigurimit në Git, gjë që bëri të mundur vlerësimin e cilësimeve të hosteve të tjerë nëse një prej tyre hakohej. Qasja përmes SSH në serverët e infrastrukturës kufizuar në një rrjet të brendshëm të sigurt, i cili bëri të mundur lidhjen me ta nga çdo adresë e jashtme.
Burimopennet.ru
[En]новые për hakimin e infrastrukturës së platformës së decentralizuar të mesazheve Matrix, për të cilën ne mengjes. Lidhja problematike përmes së cilës depërtuan sulmuesit ishte sistemi i integrimit të vazhdueshëm Jenkins, i cili u hakerua më 13 mars. Më pas, në serverin Jenkins, hyrja e njërit prej administratorëve, e ridrejtuar nga një agjent SSH, u kap dhe më 4 prill, sulmuesit fituan akses në serverë të tjerë të infrastrukturës.
Gjatë sulmit të dytë, faqja e internetit matrix.org u ridrejtua në një server tjetër (matrixnotorg.github.io) duke ndryshuar parametrat DNS, duke përdorur çelësin për API-në e sistemit të shpërndarjes së përmbajtjes Cloudflare të përgjuar gjatë sulmit të parë. Kur rindërtonin përmbajtjen e serverëve pas hakimit të parë, administratorët e Matrix përditësuan vetëm çelësat e rinj personalë dhe humbën përditësimin e çelësit në Cloudflare.
Gjatë sulmit të dytë, serverët Matrix mbetën të paprekur; ndryshimet u kufizuan vetëm në zëvendësimin e adresave në DNS. Nëse përdoruesi e ka ndryshuar tashmë fjalëkalimin pas sulmit të parë, nuk ka nevojë ta ndryshojë atë për herë të dytë. Por nëse fjalëkalimi nuk është ndryshuar ende, ai duhet të përditësohet sa më shpejt që të jetë e mundur, pasi është konfirmuar rrjedhja e bazës së të dhënave me hash fjalëkalimet. Plani aktual është të fillojë një proces rivendosjeje të detyruar të fjalëkalimit herën tjetër që të identifikoheni.
Përveç rrjedhjes së fjalëkalimeve, është konfirmuar gjithashtu se çelësat GPG të përdorur për të gjeneruar nënshkrime dixhitale për paketat në depon e Debian Synapse dhe lëshimet e Riot/Web kanë rënë në duart e sulmuesve. Çelësat ishin të mbrojtur me fjalëkalim. Çelësat janë hequr tashmë në këtë moment. Çelësat u kapën më 4 prill, që atëherë nuk është lëshuar asnjë përditësim i Synapse, por klienti Riot/Web 1.0.7 u lirua (një kontroll paraprak tregoi se ai nuk ishte komprometuar).
Sulmuesi postoi një seri raportesh në GitHub me detaje të sulmit dhe këshilla për rritjen e mbrojtjes, por ato u fshinë. Megjithatë, raportet e arkivuara .
Për shembull, sulmuesi raportoi se zhvilluesit e Matrix duhet vërtetimi me dy faktorë ose të paktën mos përdorimi i ridrejtimit të agjentit SSH (“ForwardAgent po”), atëherë do të bllokohej depërtimi në infrastrukturë. Përshkallëzimi i sulmit gjithashtu mund të ndalet duke u dhënë zhvilluesve vetëm privilegjet e nevojshme, dhe jo në të gjithë serverët.
Për më tepër, praktika e ruajtjes së çelësave për krijimin e nënshkrimeve dixhitale në serverët e prodhimit u kritikua; një host i veçantë i izoluar duhet të ndahet për qëllime të tilla. Ende duke sulmuar , që nëse zhvilluesit e Matrix do të kishin audituar rregullisht regjistrat dhe do të kishin analizuar anomalitë, ata do të kishin vënë re gjurmët e një hakimi që herët (haku CI mbeti i pazbuluar për një muaj). Një problem tjetër ruajtja e të gjithë skedarëve të konfigurimit në Git, gjë që bëri të mundur vlerësimin e cilësimeve të hosteve të tjerë nëse një prej tyre hakohej. Qasja përmes SSH në serverët e infrastrukturës kufizuar në një rrjet të brendshëm të sigurt, i cili bëri të mundur lidhjen me ta nga çdo adresë e jashtme.
Burimi: opennet.ru
[:]