yeni merkezi olmayan mesajlaşma platformu Matrix'in altyapısının hacklenmesi hakkında sabah. Saldırganların sızdığı sorunlu bağlantı, 13 Mart'ta hacklenen Jenkins sürekli entegrasyon sistemiydi. Daha sonra Jenkins sunucusunda SSH aracısı tarafından yönlendirilen yöneticilerden birinin oturum açma bilgileri ele geçirildi ve 4 Nisan'da saldırganlar diğer altyapı sunucularına erişim sağladı.
İkinci saldırı sırasında, ilk saldırı sırasında ele geçirilen Cloudflare içerik dağıtım sistemi API'sinin anahtarı kullanılarak, Matrix.org web sitesi, DNS parametreleri değiştirilerek başka bir sunucuya (matrixnotorg.github.io) yönlendirildi. Matrix yöneticileri, ilk hacklemeden sonra sunucuların içeriğini yeniden oluştururken yalnızca yeni kişisel anahtarları güncellediler ve anahtarı Cloudflare'e güncellemeyi kaçırdılar.
İkinci saldırı sırasında Matrix sunucularına dokunulmadı; değişiklikler yalnızca DNS'deki adreslerin değiştirilmesiyle sınırlıydı. Kullanıcı ilk saldırıdan sonra şifreyi zaten değiştirmişse ikinci kez değiştirmeye gerek yoktur. Ancak şifre henüz değiştirilmediyse, şifre karmalarının bulunduğu veritabanında sızıntı doğrulandığı için mümkün olan en kısa sürede güncellenmesi gerekir. Mevcut plan, bir sonraki oturum açışınızda zorunlu parola sıfırlama işlemini başlatmaktır.
Şifrelerin sızdırılmasının yanı sıra, Debian Synapse deposundaki paketler ve Riot/Web sürümleri için dijital imzalar oluşturmak için kullanılan GPG anahtarlarının da saldırganların eline geçtiği doğrulandı. Anahtarlar şifre korumalıydı. Anahtarlar şu anda zaten iptal edildi. Anahtarlar 4 Nisan'da ele geçirildi, o zamandan beri hiçbir Synapse güncellemesi yayınlanmadı, ancak Riot/Web istemcisi 1.0.7 yayınlandı (bir ön kontrol, tehlikeye atılmadığını gösterdi).
Saldırgan, GitHub'da saldırının ayrıntılarını ve korumayı artırmaya yönelik ipuçlarını içeren bir dizi rapor yayınladı, ancak bunlar silindi. Ancak arşivlenen raporlar .
Örneğin saldırgan, Matrix geliştiricilerinin şunları yapması gerektiğini bildirdi: iki faktörlü kimlik doğrulama veya en azından SSH aracı yeniden yönlendirmesinin kullanılmaması ("ForwardAgent evet"), bu durumda altyapıya giriş engellenecektir. Saldırının tırmanması, geliştiricilere yalnızca gerekli ayrıcalıkların verilmesiyle de durdurulabilir. tüm sunucularda.
Ayrıca, dijital imza oluşturmaya yönelik anahtarların üretim sunucularında saklanması uygulaması da eleştirildi; bu tür amaçlar için ayrı bir izole ana bilgisayar tahsis edilmelidir. Hala saldırıyor Matrix geliştiricileri günlükleri düzenli olarak denetlemiş ve anormallikleri analiz etmiş olsaydı, bir saldırının izlerini erkenden fark edeceklerdi (CI saldırısı bir ay boyunca fark edilmedi). Başka bir problem tüm yapılandırma dosyalarının Git'te saklanması, diğer ana bilgisayarlardan birinin saldırıya uğraması durumunda ayarlarının değerlendirilmesini mümkün kıldı. Altyapı sunucularına SSH üzerinden erişim herhangi bir harici adresten onlara bağlanmayı mümkün kılan güvenli bir dahili ağ ile sınırlıdır.
Kaynakopennet.ru
[En]yeni merkezi olmayan mesajlaşma platformu Matrix'in altyapısının hacklenmesi hakkında sabah. Saldırganların sızdığı sorunlu bağlantı, 13 Mart'ta hacklenen Jenkins sürekli entegrasyon sistemiydi. Daha sonra Jenkins sunucusunda SSH aracısı tarafından yönlendirilen yöneticilerden birinin oturum açma bilgileri ele geçirildi ve 4 Nisan'da saldırganlar diğer altyapı sunucularına erişim sağladı.
İkinci saldırı sırasında, ilk saldırı sırasında ele geçirilen Cloudflare içerik dağıtım sistemi API'sinin anahtarı kullanılarak, Matrix.org web sitesi, DNS parametreleri değiştirilerek başka bir sunucuya (matrixnotorg.github.io) yönlendirildi. Matrix yöneticileri, ilk hacklemeden sonra sunucuların içeriğini yeniden oluştururken yalnızca yeni kişisel anahtarları güncellediler ve anahtarı Cloudflare'e güncellemeyi kaçırdılar.
İkinci saldırı sırasında Matrix sunucularına dokunulmadı; değişiklikler yalnızca DNS'deki adreslerin değiştirilmesiyle sınırlıydı. Kullanıcı ilk saldırıdan sonra şifreyi zaten değiştirmişse ikinci kez değiştirmeye gerek yoktur. Ancak şifre henüz değiştirilmediyse, şifre karmalarının bulunduğu veritabanında sızıntı doğrulandığı için mümkün olan en kısa sürede güncellenmesi gerekir. Mevcut plan, bir sonraki oturum açışınızda zorunlu parola sıfırlama işlemini başlatmaktır.
Şifrelerin sızdırılmasının yanı sıra, Debian Synapse deposundaki paketler ve Riot/Web sürümleri için dijital imzalar oluşturmak için kullanılan GPG anahtarlarının da saldırganların eline geçtiği doğrulandı. Anahtarlar şifre korumalıydı. Anahtarlar şu anda zaten iptal edildi. Anahtarlar 4 Nisan'da ele geçirildi, o zamandan beri hiçbir Synapse güncellemesi yayınlanmadı, ancak Riot/Web istemcisi 1.0.7 yayınlandı (bir ön kontrol, tehlikeye atılmadığını gösterdi).
Saldırgan, GitHub'da saldırının ayrıntılarını ve korumayı artırmaya yönelik ipuçlarını içeren bir dizi rapor yayınladı, ancak bunlar silindi. Ancak arşivlenen raporlar .
Örneğin saldırgan, Matrix geliştiricilerinin şunları yapması gerektiğini bildirdi: iki faktörlü kimlik doğrulama veya en azından SSH aracı yeniden yönlendirmesinin kullanılmaması ("ForwardAgent evet"), bu durumda altyapıya giriş engellenecektir. Saldırının tırmanması, geliştiricilere yalnızca gerekli ayrıcalıkların verilmesiyle de durdurulabilir. tüm sunucularda.
Ayrıca, dijital imza oluşturmaya yönelik anahtarların üretim sunucularında saklanması uygulaması da eleştirildi; bu tür amaçlar için ayrı bir izole ana bilgisayar tahsis edilmelidir. Hala saldırıyor Matrix geliştiricileri günlükleri düzenli olarak denetlemiş ve anormallikleri analiz etmiş olsaydı, bir saldırının izlerini erkenden fark edeceklerdi (CI saldırısı bir ay boyunca fark edilmedi). Başka bir problem tüm yapılandırma dosyalarının Git'te saklanması, diğer ana bilgisayarlardan birinin saldırıya uğraması durumunda ayarlarının değerlendirilmesini mümkün kıldı. Altyapı sunucularına SSH üzerinden erişim herhangi bir harici adresten onlara bağlanmayı mümkün kılan güvenli bir dahili ağ ile sınırlıdır.
Kaynak: opennet.ru
[:]