รายละเอียดเกี่ยวกับการแฮ็ก Matrix ครั้งที่สอง คีย์โครงการ GPG ถูกบุกรุก

[:รุ]

ที่ตีพิมพ์ ใหม่ รายละเอียด เกี่ยวกับการแฮ็กโครงสร้างพื้นฐานของแพลตฟอร์มการส่งข้อความแบบกระจายอำนาจ Matrix ซึ่งเกี่ยวกับเรื่องนี้ รายงาน ตอนเช้า. ลิงก์ที่เป็นปัญหาที่ผู้โจมตีเจาะเข้าไปคือระบบบูรณาการอย่างต่อเนื่องของเจนกินส์ ซึ่งถูกแฮ็กเมื่อวันที่ 13 มีนาคม จากนั้นบนเซิร์ฟเวอร์ Jenkins การเข้าสู่ระบบของผู้ดูแลระบบคนหนึ่งซึ่งเปลี่ยนเส้นทางโดยตัวแทน SSH ถูกดักจับ และในวันที่ 4 เมษายน ผู้โจมตีก็สามารถเข้าถึงเซิร์ฟเวอร์โครงสร้างพื้นฐานอื่นๆ ได้

ในระหว่างการโจมตีครั้งที่สอง เว็บไซต์ matrix.org ถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์อื่น (matrixnotorg.github.io) โดยการเปลี่ยนพารามิเตอร์ DNS โดยใช้คีย์ไปยัง API ระบบการจัดส่งเนื้อหา Cloudflare ที่ถูกสกัดกั้นระหว่างการโจมตีครั้งแรก เมื่อสร้างเนื้อหาของเซิร์ฟเวอร์ใหม่หลังจากการแฮ็กครั้งแรก ผู้ดูแลระบบ Matrix จะอัปเดตเฉพาะคีย์ส่วนบุคคลใหม่และพลาดการอัปเดตคีย์เป็น Cloudflare

ในระหว่างการโจมตีครั้งที่สอง เซิร์ฟเวอร์ Matrix ยังคงไม่ถูกแตะต้อง การเปลี่ยนแปลงถูกจำกัดเฉพาะการแทนที่ที่อยู่ใน DNS เท่านั้น หากผู้ใช้เปลี่ยนรหัสผ่านแล้วหลังจากการโจมตีครั้งแรก ก็ไม่จำเป็นต้องเปลี่ยนอีกเป็นครั้งที่สอง แต่หากรหัสผ่านยังไม่มีการเปลี่ยนแปลง จะต้องอัปเดตโดยเร็วที่สุด เนื่องจากการรั่วไหลของฐานข้อมูลที่มีการแฮชรหัสผ่านได้รับการยืนยันแล้ว แผนปัจจุบันคือการเริ่มกระบวนการบังคับรีเซ็ตรหัสผ่านในครั้งถัดไปที่คุณเข้าสู่ระบบ

นอกจากการรั่วไหลของรหัสผ่านแล้ว ยังได้รับการยืนยันอีกว่าคีย์ GPG ที่ใช้ในการสร้างลายเซ็นดิจิทัลสำหรับแพ็คเกจในพื้นที่เก็บข้อมูล Debian Synapse และการเปิดตัว Riot/Web ตกไปอยู่ในมือของผู้โจมตี กุญแจถูกป้องกันด้วยรหัสผ่าน คีย์ได้ถูกเพิกถอนแล้วในขณะนี้ คีย์ถูกดักจับในวันที่ 4 เมษายน นับตั้งแต่นั้นมาก็ไม่มีการเผยแพร่การอัปเดต Synapse แต่ไคลเอ็นต์ Riot/Web 1.0.7 ได้รับการเผยแพร่ (การตรวจสอบเบื้องต้นแสดงให้เห็นว่าไม่มีการบุกรุก)

ผู้โจมตีโพสต์ชุดรายงานบน GitHub พร้อมรายละเอียดการโจมตีและเคล็ดลับในการเพิ่มการป้องกัน แต่ถูกลบไปแล้ว อย่างไรก็ตามรายงานที่เก็บถาวร เก็บรักษาไว้.
ตัวอย่างเช่น ผู้โจมตีรายงานว่าผู้พัฒนา Matrix ควรทำ ใช้ การตรวจสอบสิทธิ์แบบสองปัจจัยหรืออย่างน้อยก็ไม่ใช้การเปลี่ยนเส้นทางเอเจนต์ SSH (“ForwardAgent ใช่”) จากนั้นการเจาะเข้าไปในโครงสร้างพื้นฐานจะถูกบล็อก การโจมตีที่ลุกลามสามารถหยุดได้ด้วยการให้สิทธิ์แก่นักพัฒนาเฉพาะที่จำเป็นเท่านั้น แทนที่จะให้ การเข้าถึงรูทแบบเต็ม บนเซิร์ฟเวอร์ทั้งหมด

นอกจากนี้ แนวทางปฏิบัติในการจัดเก็บคีย์สำหรับการสร้างลายเซ็นดิจิทัลบนเซิร์ฟเวอร์ที่ใช้งานจริงถูกวิพากษ์วิจารณ์ ควรจัดสรรโฮสต์ที่แยกออกจากกันเพื่อวัตถุประสงค์ดังกล่าว ยังโจมตีอยู่เลย. сообщилว่าหากนักพัฒนา Matrix ตรวจสอบบันทึกและวิเคราะห์ความผิดปกติเป็นประจำ พวกเขาก็จะสังเกตเห็นร่องรอยของการแฮ็กตั้งแต่เนิ่นๆ (การแฮ็ก CI ตรวจไม่พบเป็นเวลาหนึ่งเดือน) ปัญหาอื่น มันเป็น จัดเก็บไฟล์การกำหนดค่าทั้งหมดใน Git ซึ่งทำให้สามารถประเมินการตั้งค่าของโฮสต์อื่นได้หากหนึ่งในนั้นถูกแฮ็ก เข้าถึงผ่าน SSH ไปยังเซิร์ฟเวอร์โครงสร้างพื้นฐาน ไม่ใช่ จำกัดอยู่เพียงเครือข่ายภายในที่ปลอดภัย ซึ่งทำให้สามารถเชื่อมต่อจากที่อยู่ภายนอกได้

Источникopennet.ru

[: th]

ที่ตีพิมพ์ ใหม่ รายละเอียด เกี่ยวกับการแฮ็กโครงสร้างพื้นฐานของแพลตฟอร์มการส่งข้อความแบบกระจายอำนาจ Matrix ซึ่งเกี่ยวกับเรื่องนี้ รายงาน ตอนเช้า. ลิงก์ที่เป็นปัญหาที่ผู้โจมตีเจาะเข้าไปคือระบบบูรณาการอย่างต่อเนื่องของเจนกินส์ ซึ่งถูกแฮ็กเมื่อวันที่ 13 มีนาคม จากนั้นบนเซิร์ฟเวอร์ Jenkins การเข้าสู่ระบบของผู้ดูแลระบบคนหนึ่งซึ่งเปลี่ยนเส้นทางโดยตัวแทน SSH ถูกดักจับ และในวันที่ 4 เมษายน ผู้โจมตีก็สามารถเข้าถึงเซิร์ฟเวอร์โครงสร้างพื้นฐานอื่นๆ ได้

ในระหว่างการโจมตีครั้งที่สอง เว็บไซต์ matrix.org ถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์อื่น (matrixnotorg.github.io) โดยการเปลี่ยนพารามิเตอร์ DNS โดยใช้คีย์ไปยัง API ระบบการจัดส่งเนื้อหา Cloudflare ที่ถูกสกัดกั้นระหว่างการโจมตีครั้งแรก เมื่อสร้างเนื้อหาของเซิร์ฟเวอร์ใหม่หลังจากการแฮ็กครั้งแรก ผู้ดูแลระบบ Matrix จะอัปเดตเฉพาะคีย์ส่วนบุคคลใหม่และพลาดการอัปเดตคีย์เป็น Cloudflare

ในระหว่างการโจมตีครั้งที่สอง เซิร์ฟเวอร์ Matrix ยังคงไม่ถูกแตะต้อง การเปลี่ยนแปลงถูกจำกัดเฉพาะการแทนที่ที่อยู่ใน DNS เท่านั้น หากผู้ใช้เปลี่ยนรหัสผ่านแล้วหลังจากการโจมตีครั้งแรก ก็ไม่จำเป็นต้องเปลี่ยนอีกเป็นครั้งที่สอง แต่หากรหัสผ่านยังไม่มีการเปลี่ยนแปลง จะต้องอัปเดตโดยเร็วที่สุด เนื่องจากการรั่วไหลของฐานข้อมูลที่มีการแฮชรหัสผ่านได้รับการยืนยันแล้ว แผนปัจจุบันคือการเริ่มกระบวนการบังคับรีเซ็ตรหัสผ่านในครั้งถัดไปที่คุณเข้าสู่ระบบ

นอกจากการรั่วไหลของรหัสผ่านแล้ว ยังได้รับการยืนยันอีกว่าคีย์ GPG ที่ใช้ในการสร้างลายเซ็นดิจิทัลสำหรับแพ็คเกจในพื้นที่เก็บข้อมูล Debian Synapse และการเปิดตัว Riot/Web ตกไปอยู่ในมือของผู้โจมตี กุญแจถูกป้องกันด้วยรหัสผ่าน คีย์ได้ถูกเพิกถอนแล้วในขณะนี้ คีย์ถูกดักจับในวันที่ 4 เมษายน นับตั้งแต่นั้นมาก็ไม่มีการเผยแพร่การอัปเดต Synapse แต่ไคลเอ็นต์ Riot/Web 1.0.7 ได้รับการเผยแพร่ (การตรวจสอบเบื้องต้นแสดงให้เห็นว่าไม่มีการบุกรุก)

ผู้โจมตีโพสต์ชุดรายงานบน GitHub พร้อมรายละเอียดการโจมตีและเคล็ดลับในการเพิ่มการป้องกัน แต่ถูกลบไปแล้ว อย่างไรก็ตามรายงานที่เก็บถาวร เก็บรักษาไว้.
ตัวอย่างเช่น ผู้โจมตีรายงานว่าผู้พัฒนา Matrix ควรทำ ใช้ การตรวจสอบสิทธิ์แบบสองปัจจัยหรืออย่างน้อยก็ไม่ใช้การเปลี่ยนเส้นทางเอเจนต์ SSH (“ForwardAgent ใช่”) จากนั้นการเจาะเข้าไปในโครงสร้างพื้นฐานจะถูกบล็อก การโจมตีที่ลุกลามสามารถหยุดได้ด้วยการให้สิทธิ์แก่นักพัฒนาเฉพาะที่จำเป็นเท่านั้น แทนที่จะให้ การเข้าถึงรูทแบบเต็ม บนเซิร์ฟเวอร์ทั้งหมด

นอกจากนี้ แนวทางปฏิบัติในการจัดเก็บคีย์สำหรับการสร้างลายเซ็นดิจิทัลบนเซิร์ฟเวอร์ที่ใช้งานจริงถูกวิพากษ์วิจารณ์ ควรจัดสรรโฮสต์ที่แยกออกจากกันเพื่อวัตถุประสงค์ดังกล่าว ยังโจมตีอยู่เลย. сообщилว่าหากนักพัฒนา Matrix ตรวจสอบบันทึกและวิเคราะห์ความผิดปกติเป็นประจำ พวกเขาก็จะสังเกตเห็นร่องรอยของการแฮ็กตั้งแต่เนิ่นๆ (การแฮ็ก CI ตรวจไม่พบเป็นเวลาหนึ่งเดือน) ปัญหาอื่น มันเป็น จัดเก็บไฟล์การกำหนดค่าทั้งหมดใน Git ซึ่งทำให้สามารถประเมินการตั้งค่าของโฮสต์อื่นได้หากหนึ่งในนั้นถูกแฮ็ก เข้าถึงผ่าน SSH ไปยังเซิร์ฟเวอร์โครงสร้างพื้นฐาน ไม่ใช่ จำกัดอยู่เพียงเครือข่ายภายในที่ปลอดภัย ซึ่งทำให้สามารถเชื่อมต่อจากที่อยู่ภายนอกได้

ที่มา: opennet.ru

[:]