новые о хаковању инфраструктуре децентрализоване платформе за размену порука Матрик, о којој ујутру. Проблематична карика преко које су нападачи продрли био је Џенкинсов систем континуиране интеграције, који је хакован 13. марта. Тада је на Џенкинс серверу пресретнута пријава једног од администратора, коју је преусмерио ССХ агент, а 4. априла нападачи су добили приступ другим инфраструктурним серверима.
Током другог напада, веб локација матрик.орг је преусмерена на други сервер (матрикноторг.гитхуб.ио) променом ДНС параметара, користећи кључ за АПИ система за испоруку садржаја Цлоудфларе пресретнут током првог напада. Приликом реконструкције садржаја сервера након првог хаковања, Матрик администратори су само ажурирали нове личне кључеве и пропустили ажурирање кључа на Цлоудфларе.
Током другог напада, Матрик сервери су остали нетакнути; промене су биле ограничене само на замену адреса у ДНС-у. Ако је корисник већ променио лозинку након првог напада, нема потребе да је мења други пут. Али ако лозинка још није промењена, потребно је ажурирати што је пре могуће, пошто је потврђено цурење базе података са хешовима лозинки. Тренутни план је да започнете процес присилног ресетовања лозинке следећи пут када се пријавите.
Поред цурења лозинки, такође је потврђено да су ГПГ кључеви који се користе за генерисање дигиталних потписа за пакете у Дебиан Синапсе репозиторијуму и Риот/Веб издањима пали у руке нападача. Кључеви су били заштићени лозинком. Кључеви су у овом тренутку већ повучени. Кључеви су пресретнути 4. априла, од тада није пуштено ниједно ажурирање за Синапсе, али је пуштен Риот/Веб клијент 1.0.7 (прелиминарна провера је показала да није компромитован).
Нападач је објавио серију извештаја на ГитХуб-у са детаљима напада и саветима за повећање заштите, али су они избрисани. Међутим, архивирани извештаји .
На пример, нападач је пријавио да би програмери Матрикса требали двофакторска аутентификација или барем не коришћење преусмеравања ССХ агента („ФорвардАгент да“), тада би продор у инфраструктуру био блокиран. Ескалација напада такође би се могла зауставити давањем програмера само неопходних привилегија, а не на свим серверима.
Поред тога, критикована је пракса чувања кључева за креирање дигиталних потписа на производним серверима; И даље напада , да би програмери Матрик-а редовно ревидирали дневнике и анализирали аномалије, рано приметили трагове хаковања (ЦИ хак је остао неоткривен месец дана). Други проблем чување свих конфигурационих датотека у Гиту, што је омогућило процену подешавања других хостова ако је један од њих хакован. Приступ преко ССХ до инфраструктурних сервера ограничено на сигурну интерну мрежу, што је омогућило повезивање са њима са било које спољне адресе.
Изворопеннет.ру
[Ен]новые о хаковању инфраструктуре децентрализоване платформе за размену порука Матрик, о којој ујутру. Проблематична карика преко које су нападачи продрли био је Џенкинсов систем континуиране интеграције, који је хакован 13. марта. Тада је на Џенкинс серверу пресретнута пријава једног од администратора, коју је преусмерио ССХ агент, а 4. априла нападачи су добили приступ другим инфраструктурним серверима.
Током другог напада, веб локација матрик.орг је преусмерена на други сервер (матрикноторг.гитхуб.ио) променом ДНС параметара, користећи кључ за АПИ система за испоруку садржаја Цлоудфларе пресретнут током првог напада. Приликом реконструкције садржаја сервера након првог хаковања, Матрик администратори су само ажурирали нове личне кључеве и пропустили ажурирање кључа на Цлоудфларе.
Током другог напада, Матрик сервери су остали нетакнути; промене су биле ограничене само на замену адреса у ДНС-у. Ако је корисник већ променио лозинку након првог напада, нема потребе да је мења други пут. Али ако лозинка још није промењена, потребно је ажурирати што је пре могуће, пошто је потврђено цурење базе података са хешовима лозинки. Тренутни план је да започнете процес присилног ресетовања лозинке следећи пут када се пријавите.
Поред цурења лозинки, такође је потврђено да су ГПГ кључеви који се користе за генерисање дигиталних потписа за пакете у Дебиан Синапсе репозиторијуму и Риот/Веб издањима пали у руке нападача. Кључеви су били заштићени лозинком. Кључеви су у овом тренутку већ повучени. Кључеви су пресретнути 4. априла, од тада није пуштено ниједно ажурирање за Синапсе, али је пуштен Риот/Веб клијент 1.0.7 (прелиминарна провера је показала да није компромитован).
Нападач је објавио серију извештаја на ГитХуб-у са детаљима напада и саветима за повећање заштите, али су они избрисани. Међутим, архивирани извештаји .
На пример, нападач је пријавио да би програмери Матрикса требали двофакторска аутентификација или барем не коришћење преусмеравања ССХ агента („ФорвардАгент да“), тада би продор у инфраструктуру био блокиран. Ескалација напада такође би се могла зауставити давањем програмера само неопходних привилегија, а не на свим серверима.
Поред тога, критикована је пракса чувања кључева за креирање дигиталних потписа на производним серверима; И даље напада , да би програмери Матрик-а редовно ревидирали дневнике и анализирали аномалије, рано приметили трагове хаковања (ЦИ хак је остао неоткривен месец дана). Други проблем чување свих конфигурационих датотека у Гиту, што је омогућило процену подешавања других хостова ако је један од њих хакован. Приступ преко ССХ до инфраструктурних сервера ограничено на сигурну интерну мрежу, што је омогућило повезивање са њима са било које спољне адресе.
Извор: опеннет.ру
[:]