новые om hackningen av infrastrukturen för den decentraliserade meddelandeplattformen Matrix, om vilken på morgonen. Den problematiska länken genom vilken angriparna penetrerade var Jenkins kontinuerliga integrationssystem, som hackades den 13 mars. Sedan, på Jenkins-servern, fångades inloggningen för en av administratörerna, omdirigerad av en SSH-agent, och den 4 april fick angriparna tillgång till andra infrastrukturservrar.
Under den andra attacken omdirigerades matrix.org-webbplatsen till en annan server (matrixnotorg.github.io) genom att ändra DNS-parametrarna, med hjälp av nyckeln till Cloudflares innehållsleveranssystem API som avlyssnas under den första attacken. När man byggde om innehållet på servrarna efter det första hacket, uppdaterade Matrix-administratörer bara nya personliga nycklar och missade att uppdatera nyckeln till Cloudflare.
Under den andra attacken förblev Matrix-servrarna orörda; ändringar begränsades endast till att ersätta adresser i DNS. Om användaren redan har ändrat lösenordet efter den första attacken, finns det ingen anledning att ändra det en andra gång. Men om lösenordet ännu inte har ändrats måste det uppdateras så snart som möjligt, eftersom läckan av databasen med lösenords-hashar har bekräftats. Den nuvarande planen är att starta en process för tvångsåterställning av lösenord nästa gång du loggar in.
Utöver läckan av lösenord har det också bekräftats att GPG-nycklar som används för att generera digitala signaturer för paket i Debian Synapse-förvaret och Riot/Web-utgåvor har fallit i händerna på angriparna. Nycklarna var lösenordsskyddade. Nycklarna har redan återkallats vid det här laget. Nycklarna fångades upp den 4 april, sedan dess har inga Synapse-uppdateringar släppts, men Riot/Web-klienten 1.0.7 släpptes (en preliminär kontroll visade att den inte var komprometterad).
Angriparen postade en serie rapporter på GitHub med detaljer om attacken och tips för att öka skyddet, men de raderades. Däremot rapporterar de arkiverade .
Till exempel rapporterade angriparen att Matrix-utvecklarna borde göra det tvåfaktorsautentisering eller åtminstone inte använda SSH-agentomdirigering ("ForwardAgent yes"), då skulle penetration i infrastrukturen blockeras. Upptrappningen av attacken kan också stoppas genom att ge utvecklare endast de nödvändiga privilegierna, snarare än på alla servrar.
Dessutom kritiserades praxis att lagra nycklar för att skapa digitala signaturer på produktionsservrar; en separat isolerad värd bör tilldelas för sådana ändamål. Fortfarande attackerande , att om Matrix-utvecklare regelbundet hade granskat loggar och analyserat anomalier, skulle de ha märkt spår av ett hack tidigt (CI-hacket gick oupptäckt i en månad). Ett annat problem lagra alla konfigurationsfiler i Git, vilket gjorde det möjligt att utvärdera inställningarna för andra värdar om någon av dem hackades. Åtkomst via SSH till infrastrukturservrar begränsad till ett säkert internt nätverk, vilket gjorde det möjligt att ansluta till dem från valfri extern adress.
Källaopennet.ru
[: En]новые om hackningen av infrastrukturen för den decentraliserade meddelandeplattformen Matrix, om vilken på morgonen. Den problematiska länken genom vilken angriparna penetrerade var Jenkins kontinuerliga integrationssystem, som hackades den 13 mars. Sedan, på Jenkins-servern, fångades inloggningen för en av administratörerna, omdirigerad av en SSH-agent, och den 4 april fick angriparna tillgång till andra infrastrukturservrar.
Under den andra attacken omdirigerades matrix.org-webbplatsen till en annan server (matrixnotorg.github.io) genom att ändra DNS-parametrarna, med hjälp av nyckeln till Cloudflares innehållsleveranssystem API som avlyssnas under den första attacken. När man byggde om innehållet på servrarna efter det första hacket, uppdaterade Matrix-administratörer bara nya personliga nycklar och missade att uppdatera nyckeln till Cloudflare.
Under den andra attacken förblev Matrix-servrarna orörda; ändringar begränsades endast till att ersätta adresser i DNS. Om användaren redan har ändrat lösenordet efter den första attacken, finns det ingen anledning att ändra det en andra gång. Men om lösenordet ännu inte har ändrats måste det uppdateras så snart som möjligt, eftersom läckan av databasen med lösenords-hashar har bekräftats. Den nuvarande planen är att starta en process för tvångsåterställning av lösenord nästa gång du loggar in.
Utöver läckan av lösenord har det också bekräftats att GPG-nycklar som används för att generera digitala signaturer för paket i Debian Synapse-förvaret och Riot/Web-utgåvor har fallit i händerna på angriparna. Nycklarna var lösenordsskyddade. Nycklarna har redan återkallats vid det här laget. Nycklarna fångades upp den 4 april, sedan dess har inga Synapse-uppdateringar släppts, men Riot/Web-klienten 1.0.7 släpptes (en preliminär kontroll visade att den inte var komprometterad).
Angriparen postade en serie rapporter på GitHub med detaljer om attacken och tips för att öka skyddet, men de raderades. Däremot rapporterar de arkiverade .
Till exempel rapporterade angriparen att Matrix-utvecklarna borde göra det tvåfaktorsautentisering eller åtminstone inte använda SSH-agentomdirigering ("ForwardAgent yes"), då skulle penetration i infrastrukturen blockeras. Upptrappningen av attacken kan också stoppas genom att ge utvecklare endast de nödvändiga privilegierna, snarare än på alla servrar.
Dessutom kritiserades praxis att lagra nycklar för att skapa digitala signaturer på produktionsservrar; en separat isolerad värd bör tilldelas för sådana ändamål. Fortfarande attackerande , att om Matrix-utvecklare regelbundet hade granskat loggar och analyserat anomalier, skulle de ha märkt spår av ett hack tidigt (CI-hacket gick oupptäckt i en månad). Ett annat problem lagra alla konfigurationsfiler i Git, vilket gjorde det möjligt att utvärdera inställningarna för andra värdar om någon av dem hackades. Åtkomst via SSH till infrastrukturservrar begränsad till ett säkert internt nätverk, vilket gjorde det möjligt att ansluta till dem från valfri extern adress.
Källa: opennet.ru
[:]