новые ngeunaan Hacking tina infrastruktur platform olahtalatah desentralisasi Matrix, ngeunaan nu di énjing-énjing. Tautan masalah anu ditembus ku panyerang nyaéta sistem integrasi kontinyu Jenkins, anu diretas dina 13 Maret. Teras, dina server Jenkins, login salah sahiji pangurus, dialihkeun ku agén SSH, dicegat, sareng dina 4 April, panyerang nampi aksés ka server infrastruktur anu sanés.
Salila serangan kadua, ramatloka matrix.org ieu dialihkeun ka server sejen (matrixnotorg.github.io) ku cara ngarobah parameter DNS, ngagunakeun konci pikeun API sistem pangiriman eusi Cloudflare disadap salila serangan munggaran. Nalika ngawangun deui eusi server saatos hack munggaran, pangurus Matrix ngan ukur ngapdet konci pribadi anyar sareng sono ngamutahirkeun konci Cloudflare.
Salila serangan kadua, server Matrix tetep teu kacekel; parobahan ngan ukur pikeun ngagentos alamat dina DNS. Upami pangguna parantos ngarobih kecap konci saatos serangan kahiji, teu kedah ngarobih deui kadua kalina. Tapi upami kecap aksesna henteu acan dirobih, éta kedah diénggalan pas mungkin, sabab bocor databés sareng hashes sandi parantos dikonfirmasi. Rencana ayeuna nyaéta pikeun ngamimitian prosés reset sandi paksa nalika anjeun asup deui.
Salian bocorna kecap akses, éta ogé parantos dikonfirmasi yén konci GPG anu dianggo pikeun ngahasilkeun tanda tangan digital pikeun bungkusan dina gudang Debian Synapse sareng rilis Riot/Web parantos murag kana panyerang. Koncina ditangtayungan ku sandi. Koncina parantos dicabut ayeuna. Koncina dicegat dina 4 April, saprak harita teu aya apdet Synapse anu dileupaskeun, tapi klien Riot/Web 1.0.7 dileupaskeun (pariksaan awal nunjukkeun yén éta henteu dikompromi).
Panyerang masangkeun sababaraha laporan dina GitHub kalayan detil serangan sareng tip pikeun ningkatkeun panyalindungan, tapi aranjeunna dihapus. Sanajan kitu, laporan arsip .
Salaku conto, panyerang ngalaporkeun yén pamekar Matrix kedah auténtikasi dua-faktor atanapi sahenteuna henteu nganggo alihan agén SSH ("ForwardAgent ya"), teras penetrasi kana infrastruktur bakal diblokir. The escalation tina serangan ogé bisa dieureunkeun ku méré pamekar ngan hak husus diperlukeun, tinimbang dina sadaya server.
Salaku tambahan, prakték nyimpen konci pikeun nyiptakeun tanda tangan digital dina server produksi dikritik; host terasing anu misah kedah dialokasikeun pikeun tujuan sapertos kitu. Masih nyerang , yén lamun pamekar Matrix geus rutin diaudit log sarta dianalisis anomali, aranjeunna bakal geus noticed ngambah hack mimiti on ( Hack CI indit undetected salila sabulan). masalah sejen nyimpen sadaya file konfigurasi dina Git, nu ngamungkinkeun pikeun evaluate setélan host séjén lamun salah sahijina ieu hacked. Aksés via SSH ka server infrastruktur dugi ka jaringan internal anu aman, anu ngamungkinkeun pikeun nyambung ka aranjeunna tina alamat éksternal mana waé.
sumberopennet.ru
[: en]новые ngeunaan Hacking tina infrastruktur platform olahtalatah desentralisasi Matrix, ngeunaan nu di énjing-énjing. Tautan masalah anu ditembus ku panyerang nyaéta sistem integrasi kontinyu Jenkins, anu diretas dina 13 Maret. Teras, dina server Jenkins, login salah sahiji pangurus, dialihkeun ku agén SSH, dicegat, sareng dina 4 April, panyerang nampi aksés ka server infrastruktur anu sanés.
Salila serangan kadua, ramatloka matrix.org ieu dialihkeun ka server sejen (matrixnotorg.github.io) ku cara ngarobah parameter DNS, ngagunakeun konci pikeun API sistem pangiriman eusi Cloudflare disadap salila serangan munggaran. Nalika ngawangun deui eusi server saatos hack munggaran, pangurus Matrix ngan ukur ngapdet konci pribadi anyar sareng sono ngamutahirkeun konci Cloudflare.
Salila serangan kadua, server Matrix tetep teu kacekel; parobahan ngan ukur pikeun ngagentos alamat dina DNS. Upami pangguna parantos ngarobih kecap konci saatos serangan kahiji, teu kedah ngarobih deui kadua kalina. Tapi upami kecap aksesna henteu acan dirobih, éta kedah diénggalan pas mungkin, sabab bocor databés sareng hashes sandi parantos dikonfirmasi. Rencana ayeuna nyaéta pikeun ngamimitian prosés reset sandi paksa nalika anjeun asup deui.
Salian bocorna kecap akses, éta ogé parantos dikonfirmasi yén konci GPG anu dianggo pikeun ngahasilkeun tanda tangan digital pikeun bungkusan dina gudang Debian Synapse sareng rilis Riot/Web parantos murag kana panyerang. Koncina ditangtayungan ku sandi. Koncina parantos dicabut ayeuna. Koncina dicegat dina 4 April, saprak harita teu aya apdet Synapse anu dileupaskeun, tapi klien Riot/Web 1.0.7 dileupaskeun (pariksaan awal nunjukkeun yén éta henteu dikompromi).
Panyerang masangkeun sababaraha laporan dina GitHub kalayan detil serangan sareng tip pikeun ningkatkeun panyalindungan, tapi aranjeunna dihapus. Sanajan kitu, laporan arsip .
Salaku conto, panyerang ngalaporkeun yén pamekar Matrix kedah auténtikasi dua-faktor atanapi sahenteuna henteu nganggo alihan agén SSH ("ForwardAgent ya"), teras penetrasi kana infrastruktur bakal diblokir. The escalation tina serangan ogé bisa dieureunkeun ku méré pamekar ngan hak husus diperlukeun, tinimbang dina sadaya server.
Salaku tambahan, prakték nyimpen konci pikeun nyiptakeun tanda tangan digital dina server produksi dikritik; host terasing anu misah kedah dialokasikeun pikeun tujuan sapertos kitu. Masih nyerang , yén lamun pamekar Matrix geus rutin diaudit log sarta dianalisis anomali, aranjeunna bakal geus noticed ngambah hack mimiti on ( Hack CI indit undetected salila sabulan). masalah sejen nyimpen sadaya file konfigurasi dina Git, nu ngamungkinkeun pikeun evaluate setélan host séjén lamun salah sahijina ieu hacked. Aksés via SSH ka server infrastruktur dugi ka jaringan internal anu aman, anu ngamungkinkeun pikeun nyambung ka aranjeunna tina alamat éksternal mana waé.
sumber: opennet.ru
[]