новые дар бораи хакерӣ ба инфрасохтори платформаи паёмнависии ғайримарказии Matrix, ки дар бораи он саҳарӣ. Пайванди мушкилие, ки ҳамлагарон тавассути он ворид шуданд, системаи муттаҳидсозии муттасили Ҷенкинс буд, ки 13 март рахна шуда буд. Сипас, дар сервери Ҷенкинс, воридшавии яке аз маъмуроне, ки аз ҷониби агенти SSH равона карда шудааст, боздошта шуд ва рӯзи 4 апрел ҳамлагарон ба дигар серверҳои инфрасохторӣ дастрасӣ пайдо карданд.
Ҳангоми ҳамлаи дуввум, вебсайти matrix.org тавассути тағир додани параметрҳои DNS бо истифода аз калиди системаи интиқоли мундариҷаи Cloudflare API, ки ҳангоми ҳамлаи аввал боздошт шуда буд, ба сервери дигар (matrixnotorg.github.io) равона карда шуд. Ҳангоми барқарор кардани мундариҷаи серверҳо пас аз хакерии аввал, маъмурони Matrix танҳо калидҳои нави шахсиро навсозӣ карданд ва навсозии калиди Cloudflare-ро аз даст доданд.
Ҳангоми ҳамлаи дуюм, серверҳои Matrix бетағйир монданд; тағирот танҳо бо иваз кардани суроғаҳо дар DNS маҳдуд буд. Агар корбар пас аз ҳамлаи аввал паролро аллакай иваз карда бошад, зарурати иваз кардани он бори дуюм нест. Аммо агар парол то ҳол иваз нашуда бошад, он бояд ҳарчи зудтар нав карда шавад, зеро ихроҷи пойгоҳи додаҳо бо хэшҳои парол тасдиқ шудааст. Нақшаи ҷорӣ ин аст, ки вақте ки шумо ворид шавед, раванди маҷбурии барқароркунии паролро оғоз кунед.
Илова ба ихроҷи паролҳо, инчунин тасдиқ шудааст, ки калидҳои GPG, ки барои тавлиди имзоҳои рақамӣ барои бастаҳо дар анбори Debian Synapse ва нашрҳои Riot/Web истифода мешуданд, ба дасти ҳамлагарон афтодаанд. Калидҳо бо парол муҳофизат карда шуданд. Дар айни замон калидҳо аллакай бекор карда шудаанд. Калидҳо рӯзи 4 апрел боздошт шуданд, аз он вақт инҷониб ягон навсозии Synapse нашр нашудааст, аммо муштарии Riot/Web 1.0.7 бароварда шуд (тафтишҳои пешакӣ нишон дод, ки он осеб надидааст).
Ҳамлагар як қатор гузоришҳоро дар GitHub бо тафсилоти ҳамла ва маслиҳатҳо барои баланд бардоштани муҳофизат нашр кард, аммо онҳо нест карда шуданд. Бо вуҷуди ин, гузоришҳои бойгонӣ .
Масалан, ҳамлагар гузориш дод, ки таҳиягарони Matrix бояд аутентификатсияи ду-омилӣ ё ҳадди аққал истифода набурдани масири агенти SSH (“ForwardAgent ҳа”), пас воридшавӣ ба инфрасохтор баста мешавад. Шиддати ҳамларо инчунин тавассути додани таҳиягарон на танҳо имтиёзҳои зарурӣ боздоштан мумкин аст дар ҳама серверҳо.
Илова бар ин, таҷрибаи нигоҳдории калидҳо барои эҷоди имзоҳои рақамӣ дар серверҳои истеҳсолӣ интиқод карда шуд; барои чунин мақсадҳо бояд як ҳости ҷудогона ҷудо карда шавад. Ҳанӯз ҳамла , ки агар таҳиягарони Matrix мунтазам гузоришҳоро тафтиш мекарданд ва аномалияҳоро таҳлил мекарданд, онҳо дар аввал пайҳои ҳакерро мушоҳида мекарданд (хаки CI як моҳ ошкор нашуд). Мушкилоти дигар нигоҳ доштани ҳамаи файлҳои конфигуратсия дар Git, ки имкон дод, ки танзимоти ҳостҳои дигарро дар сурати ҳакерӣ кардани яке аз онҳо арзёбӣ кунед. Дастрасӣ тавассути SSH ба серверҳои инфрасохторӣ бо шабакаи бехатари дохилӣ маҳдуд аст, ки имкон дод, ки ба онҳо аз ҳар суроғаи беруна пайваст шавад.
Сарчашмаopennet.ru
[: en]новые дар бораи хакерӣ ба инфрасохтори платформаи паёмнависии ғайримарказии Matrix, ки дар бораи он саҳарӣ. Пайванди мушкилие, ки ҳамлагарон тавассути он ворид шуданд, системаи муттаҳидсозии муттасили Ҷенкинс буд, ки 13 март рахна шуда буд. Сипас, дар сервери Ҷенкинс, воридшавии яке аз маъмуроне, ки аз ҷониби агенти SSH равона карда шудааст, боздошта шуд ва рӯзи 4 апрел ҳамлагарон ба дигар серверҳои инфрасохторӣ дастрасӣ пайдо карданд.
Ҳангоми ҳамлаи дуввум, вебсайти matrix.org тавассути тағир додани параметрҳои DNS бо истифода аз калиди системаи интиқоли мундариҷаи Cloudflare API, ки ҳангоми ҳамлаи аввал боздошт шуда буд, ба сервери дигар (matrixnotorg.github.io) равона карда шуд. Ҳангоми барқарор кардани мундариҷаи серверҳо пас аз хакерии аввал, маъмурони Matrix танҳо калидҳои нави шахсиро навсозӣ карданд ва навсозии калиди Cloudflare-ро аз даст доданд.
Ҳангоми ҳамлаи дуюм, серверҳои Matrix бетағйир монданд; тағирот танҳо бо иваз кардани суроғаҳо дар DNS маҳдуд буд. Агар корбар пас аз ҳамлаи аввал паролро аллакай иваз карда бошад, зарурати иваз кардани он бори дуюм нест. Аммо агар парол то ҳол иваз нашуда бошад, он бояд ҳарчи зудтар нав карда шавад, зеро ихроҷи пойгоҳи додаҳо бо хэшҳои парол тасдиқ шудааст. Нақшаи ҷорӣ ин аст, ки вақте ки шумо ворид шавед, раванди маҷбурии барқароркунии паролро оғоз кунед.
Илова ба ихроҷи паролҳо, инчунин тасдиқ шудааст, ки калидҳои GPG, ки барои тавлиди имзоҳои рақамӣ барои бастаҳо дар анбори Debian Synapse ва нашрҳои Riot/Web истифода мешуданд, ба дасти ҳамлагарон афтодаанд. Калидҳо бо парол муҳофизат карда шуданд. Дар айни замон калидҳо аллакай бекор карда шудаанд. Калидҳо рӯзи 4 апрел боздошт шуданд, аз он вақт инҷониб ягон навсозии Synapse нашр нашудааст, аммо муштарии Riot/Web 1.0.7 бароварда шуд (тафтишҳои пешакӣ нишон дод, ки он осеб надидааст).
Ҳамлагар як қатор гузоришҳоро дар GitHub бо тафсилоти ҳамла ва маслиҳатҳо барои баланд бардоштани муҳофизат нашр кард, аммо онҳо нест карда шуданд. Бо вуҷуди ин, гузоришҳои бойгонӣ .
Масалан, ҳамлагар гузориш дод, ки таҳиягарони Matrix бояд аутентификатсияи ду-омилӣ ё ҳадди аққал истифода набурдани масири агенти SSH (“ForwardAgent ҳа”), пас воридшавӣ ба инфрасохтор баста мешавад. Шиддати ҳамларо инчунин тавассути додани таҳиягарон на танҳо имтиёзҳои зарурӣ боздоштан мумкин аст дар ҳама серверҳо.
Илова бар ин, таҷрибаи нигоҳдории калидҳо барои эҷоди имзоҳои рақамӣ дар серверҳои истеҳсолӣ интиқод карда шуд; барои чунин мақсадҳо бояд як ҳости ҷудогона ҷудо карда шавад. Ҳанӯз ҳамла , ки агар таҳиягарони Matrix мунтазам гузоришҳоро тафтиш мекарданд ва аномалияҳоро таҳлил мекарданд, онҳо дар аввал пайҳои ҳакерро мушоҳида мекарданд (хаки CI як моҳ ошкор нашуд). Мушкилоти дигар нигоҳ доштани ҳамаи файлҳои конфигуратсия дар Git, ки имкон дод, ки танзимоти ҳостҳои дигарро дар сурати ҳакерӣ кардани яке аз онҳо арзёбӣ кунед. Дастрасӣ тавассути SSH ба серверҳои инфрасохторӣ бо шабакаи бехатари дохилӣ маҳдуд аст, ки имкон дод, ки ба онҳо аз ҳар суроғаи беруна пайваст шавад.
Манбаъ: opennet.ru
[:]