Π½ΠΎΠ²ΡΠ΅ kuhusu udukuzi wa miundombinu ya jukwaa la ujumbe lililogatuliwa la Matrix, ambalo linahusu Asubuhi. Kiungo chenye tatizo ambacho washambuliaji walipenya kilikuwa ni mfumo wa ujumuishaji wa Jenkins, ambao ulidukuliwa mnamo Machi 13. Kisha, kwenye seva ya Jenkins, kuingia kwa mmoja wa wasimamizi, iliyoelekezwa na wakala wa SSH, ilizuiliwa, na Aprili 4, washambuliaji walipata upatikanaji wa seva nyingine za miundombinu.
Wakati wa shambulio la pili, tovuti ya matrix.org ilielekezwa kwenye seva nyingine (matrixnotorg.github.io) kwa kubadilisha vigezo vya DNS, kwa kutumia ufunguo wa API ya mfumo wa uwasilishaji wa maudhui ya Cloudflare ulionaswa wakati wa shambulio la kwanza. Wakati wa kuunda upya yaliyomo kwenye seva baada ya udukuzi wa kwanza, wasimamizi wa Matrix walisasisha tu funguo mpya za kibinafsi na walikosa kusasisha ufunguo wa Cloudflare.
Wakati wa shambulio la pili, seva za Matrix zilibaki bila kuguswa; mabadiliko yalipunguzwa tu kuchukua nafasi ya anwani katika DNS. Ikiwa mtumiaji tayari amebadilisha nenosiri baada ya shambulio la kwanza, hakuna haja ya kuibadilisha mara ya pili. Lakini ikiwa nenosiri bado halijabadilishwa, linahitaji kusasishwa haraka iwezekanavyo, kwa kuwa uvujaji wa hifadhidata na kasi ya nenosiri imethibitishwa. Mpango wa sasa ni kuanzisha mchakato wa kulazimishwa wa kuweka upya nenosiri utakapoingia tena.
Mbali na kuvuja kwa manenosiri, pia imethibitishwa kuwa funguo za GPG zinazotumiwa kutengeneza saini za kidijitali za vifurushi katika hazina ya Debian Synapse na matoleo ya Riot/Web yameangukia mikononi mwa washambuliaji. Vifunguo vililindwa kwa nenosiri. Vifunguo tayari vimebatilishwa kwa wakati huu. Funguo zilizuiliwa mnamo Aprili 4, tangu wakati huo hakuna sasisho za Synapse zimetolewa, lakini mteja wa Riot/Web 1.0.7 ilitolewa (hundi ya awali ilionyesha kuwa haikuathiriwa).
Mshambulizi alichapisha mfululizo wa ripoti kwenye GitHub na maelezo ya shambulio hilo na vidokezo vya kuongeza ulinzi, lakini zilifutwa. Walakini, ripoti zilizohifadhiwa .
Kwa mfano, mshambuliaji aliripoti kwamba wasanidi wa Matrix wanapaswa uthibitishaji wa vipengele viwili au angalau kutotumia uelekezaji kwingine wa wakala wa SSH (βForwardAgent ndiyoβ), basi kupenya kwenye miundombinu kutazuiwa. Kuongezeka kwa shambulio hilo pia kunaweza kusimamishwa kwa kuwapa watengenezaji haki muhimu tu, badala ya kwenye seva zote.
Zaidi ya hayo, zoezi la kuhifadhi funguo za kuunda sahihi za kidijitali kwenye seva za uzalishaji lilikosolewa; mpangishi tofauti uliotengwa unapaswa kutengwa kwa madhumuni kama hayo. Bado kushambulia , kwamba ikiwa watengenezaji wa Matrix wangekuwa na kumbukumbu zilizokaguliwa mara kwa mara na kuchanganua hitilafu, wangegundua athari za udukuzi mapema (udukuzi wa CI haukutambuliwa kwa mwezi mmoja). Tatizo jingine kuhifadhi faili zote za usanidi kwenye Git, ambayo ilifanya iwezekane kutathmini mipangilio ya wapangishi wengine ikiwa mmoja wao alidukuliwa. Ufikiaji kupitia SSH kwa seva za miundombinu mdogo kwa mtandao salama wa ndani, ambayo ilifanya iwezekane kuunganishwa nao kutoka kwa anwani yoyote ya nje.
Chanzoopennet.ru
[: sw]Π½ΠΎΠ²ΡΠ΅ kuhusu udukuzi wa miundombinu ya jukwaa la ujumbe lililogatuliwa la Matrix, ambalo linahusu Asubuhi. Kiungo chenye tatizo ambacho washambuliaji walipenya kilikuwa ni mfumo wa ujumuishaji wa Jenkins, ambao ulidukuliwa mnamo Machi 13. Kisha, kwenye seva ya Jenkins, kuingia kwa mmoja wa wasimamizi, iliyoelekezwa na wakala wa SSH, ilizuiliwa, na Aprili 4, washambuliaji walipata upatikanaji wa seva nyingine za miundombinu.
Wakati wa shambulio la pili, tovuti ya matrix.org ilielekezwa kwenye seva nyingine (matrixnotorg.github.io) kwa kubadilisha vigezo vya DNS, kwa kutumia ufunguo wa API ya mfumo wa uwasilishaji wa maudhui ya Cloudflare ulionaswa wakati wa shambulio la kwanza. Wakati wa kuunda upya yaliyomo kwenye seva baada ya udukuzi wa kwanza, wasimamizi wa Matrix walisasisha tu funguo mpya za kibinafsi na walikosa kusasisha ufunguo wa Cloudflare.
Wakati wa shambulio la pili, seva za Matrix zilibaki bila kuguswa; mabadiliko yalipunguzwa tu kuchukua nafasi ya anwani katika DNS. Ikiwa mtumiaji tayari amebadilisha nenosiri baada ya shambulio la kwanza, hakuna haja ya kuibadilisha mara ya pili. Lakini ikiwa nenosiri bado halijabadilishwa, linahitaji kusasishwa haraka iwezekanavyo, kwa kuwa uvujaji wa hifadhidata na kasi ya nenosiri imethibitishwa. Mpango wa sasa ni kuanzisha mchakato wa kulazimishwa wa kuweka upya nenosiri utakapoingia tena.
Mbali na kuvuja kwa manenosiri, pia imethibitishwa kuwa funguo za GPG zinazotumiwa kutengeneza saini za kidijitali za vifurushi katika hazina ya Debian Synapse na matoleo ya Riot/Web yameangukia mikononi mwa washambuliaji. Vifunguo vililindwa kwa nenosiri. Vifunguo tayari vimebatilishwa kwa wakati huu. Funguo zilizuiliwa mnamo Aprili 4, tangu wakati huo hakuna sasisho za Synapse zimetolewa, lakini mteja wa Riot/Web 1.0.7 ilitolewa (hundi ya awali ilionyesha kuwa haikuathiriwa).
Mshambulizi alichapisha mfululizo wa ripoti kwenye GitHub na maelezo ya shambulio hilo na vidokezo vya kuongeza ulinzi, lakini zilifutwa. Walakini, ripoti zilizohifadhiwa .
Kwa mfano, mshambuliaji aliripoti kwamba wasanidi wa Matrix wanapaswa uthibitishaji wa vipengele viwili au angalau kutotumia uelekezaji kwingine wa wakala wa SSH (βForwardAgent ndiyoβ), basi kupenya kwenye miundombinu kutazuiwa. Kuongezeka kwa shambulio hilo pia kunaweza kusimamishwa kwa kuwapa watengenezaji haki muhimu tu, badala ya kwenye seva zote.
Zaidi ya hayo, zoezi la kuhifadhi funguo za kuunda sahihi za kidijitali kwenye seva za uzalishaji lilikosolewa; mpangishi tofauti uliotengwa unapaswa kutengwa kwa madhumuni kama hayo. Bado kushambulia , kwamba ikiwa watengenezaji wa Matrix wangekuwa na kumbukumbu zilizokaguliwa mara kwa mara na kuchanganua hitilafu, wangegundua athari za udukuzi mapema (udukuzi wa CI haukutambuliwa kwa mwezi mmoja). Tatizo jingine kuhifadhi faili zote za usanidi kwenye Git, ambayo ilifanya iwezekane kutathmini mipangilio ya wapangishi wengine ikiwa mmoja wao alidukuliwa. Ufikiaji kupitia SSH kwa seva za miundombinu mdogo kwa mtandao salama wa ndani, ambayo ilifanya iwezekane kuunganishwa nao kutoka kwa anwani yoyote ya nje.
Chanzo: opennet.ru
[:]