دوسرے میٹرکس ہیک کے بارے میں تفصیلات۔ پروجیکٹ GPG کلیدوں سے سمجھوتہ کیا گیا۔

[:en]

شائع شدہ новые تفصیلات وکندریقرت پیغام رسانی پلیٹ فارم میٹرکس کے بنیادی ڈھانچے کی ہیکنگ کے بارے میں، جس کے بارے میں اطلاع دی صبح کے وقت. جس کے ذریعے حملہ آور داخل ہوئے وہ مسئلہ جینکنز کا مسلسل انضمام کا نظام تھا، جسے 13 مارچ کو ہیک کیا گیا تھا۔ پھر، جینکنز سرور پر، ایک ایڈمنسٹریٹر کا لاگ ان، جسے ایک SSH ایجنٹ نے ری ڈائریکٹ کیا، روک دیا گیا، اور 4 اپریل کو، حملہ آوروں نے دوسرے انفراسٹرکچر سرورز تک رسائی حاصل کی۔

دوسرے حملے کے دوران، Matrix.org ویب سائٹ کو پہلے حملے کے دوران روکے گئے Cloudflare مواد کی ترسیل کے نظام API کی کلید کا استعمال کرتے ہوئے، DNS پیرامیٹرز کو تبدیل کر کے دوسرے سرور (matrixnotorg.github.io) پر بھیج دیا گیا۔ پہلی ہیک کے بعد سرورز کے مواد کو دوبارہ تعمیر کرتے وقت، میٹرکس کے منتظمین نے صرف نئی ذاتی کلیدوں کو اپ ڈیٹ کیا اور Cloudflare کی کلید کو اپ ڈیٹ کرنا چھوڑ دیا۔

دوسرے حملے کے دوران، میٹرکس سرورز اچھوت رہے؛ تبدیلیاں صرف ڈی این ایس میں پتوں کو تبدیل کرنے تک محدود تھیں۔ اگر صارف پہلے حملے کے بعد پاس ورڈ تبدیل کر چکا ہے تو اسے دوسری بار تبدیل کرنے کی ضرورت نہیں ہے۔ لیکن اگر پاس ورڈ ابھی تک تبدیل نہیں کیا گیا ہے، تو اسے جلد از جلد اپ ڈیٹ کرنے کی ضرورت ہے، کیونکہ پاس ورڈ ہیش کے ساتھ ڈیٹا بیس کے لیک ہونے کی تصدیق ہو چکی ہے۔ موجودہ منصوبہ یہ ہے کہ اگلی بار جب آپ لاگ ان ہوں گے تو پاس ورڈ دوبارہ ترتیب دینے کا عمل شروع کیا جائے۔

پاس ورڈز کے لیک ہونے کے علاوہ، اس بات کی بھی تصدیق ہوئی ہے کہ Debian Synapse ریپوزٹری اور Riot/Web ریلیز میں پیکجز کے لیے ڈیجیٹل دستخط بنانے کے لیے استعمال ہونے والی GPG کیز حملہ آوروں کے ہاتھ لگ گئی ہیں۔ چابیاں پاس ورڈ سے محفوظ تھیں۔ اس وقت چابیاں پہلے ہی منسوخ کر دی گئی ہیں۔ چابیاں 4 اپریل کو روکی گئیں، اس کے بعد سے کوئی Synapse اپ ڈیٹ جاری نہیں کیا گیا، لیکن Riot/Web کلائنٹ 1.0.7 جاری کیا گیا (ابتدائی جانچ سے پتہ چلتا ہے کہ اس سے سمجھوتہ نہیں کیا گیا تھا)۔

حملہ آور نے GitHub پر حملے کی تفصیلات اور تحفظ کو بڑھانے کے لیے تجاویز کے ساتھ رپورٹس کا ایک سلسلہ شائع کیا، لیکن انہیں حذف کر دیا گیا۔ تاہم آرکائیو شدہ رپورٹس محفوظ.
مثال کے طور پر، حملہ آور نے اطلاع دی کہ میٹرکس ڈویلپرز کو کرنا چاہیے۔ استعمال کریں دو عنصر کی توثیق یا کم از کم SSH ایجنٹ ری ڈائریکشن ("ForwardAgent yes") کا استعمال نہ کرنا، تو انفراسٹرکچر میں دخول کو روک دیا جائے گا۔ ڈویلپرز کو صرف ضروری مراعات دے کر بھی حملے میں اضافے کو روکا جا سکتا ہے۔ مکمل جڑ تک رسائی تمام سرورز پر۔

مزید برآں، پروڈکشن سرورز پر ڈیجیٹل دستخط بنانے کے لیے چابیاں ذخیرہ کرنے کے عمل پر تنقید کی گئی؛ ایسے مقاصد کے لیے ایک الگ الگ میزبان مختص کیا جانا چاہیے۔ اب بھی حملہ کر رہے ہیں۔ сообщил، کہ اگر میٹرکس کے ڈویلپرز نے لاگز کا باقاعدگی سے آڈٹ کیا ہوتا اور بے ضابطگیوں کا تجزیہ کیا ہوتا، تو انہوں نے جلد ہی ہیک کے نشانات دیکھے ہوتے (سی آئی ہیک کا ایک ماہ تک پتہ نہیں چلا)۔ ایک اور مسئلہ یہ تھا Git میں تمام کنفیگریشن فائلوں کو اسٹور کرنا، جس سے دوسرے میزبانوں کی سیٹنگز کا جائزہ لینا ممکن ہو گیا اگر ان میں سے کسی ایک کو ہیک کیا گیا ہو۔ SSH کے ذریعے انفراسٹرکچر سرورز تک رسائی نہیں تھا ایک محفوظ اندرونی نیٹ ورک تک محدود، جس نے کسی بھی بیرونی پتے سے ان سے رابطہ ممکن بنایا۔

ماخذopennet.ru

[: en]

شائع شدہ новые تفصیلات وکندریقرت پیغام رسانی پلیٹ فارم میٹرکس کے بنیادی ڈھانچے کی ہیکنگ کے بارے میں، جس کے بارے میں اطلاع دی صبح کے وقت. جس کے ذریعے حملہ آور داخل ہوئے وہ مسئلہ جینکنز کا مسلسل انضمام کا نظام تھا، جسے 13 مارچ کو ہیک کیا گیا تھا۔ پھر، جینکنز سرور پر، ایک ایڈمنسٹریٹر کا لاگ ان، جسے ایک SSH ایجنٹ نے ری ڈائریکٹ کیا، روک دیا گیا، اور 4 اپریل کو، حملہ آوروں نے دوسرے انفراسٹرکچر سرورز تک رسائی حاصل کی۔

دوسرے حملے کے دوران، Matrix.org ویب سائٹ کو پہلے حملے کے دوران روکے گئے Cloudflare مواد کی ترسیل کے نظام API کی کلید کا استعمال کرتے ہوئے، DNS پیرامیٹرز کو تبدیل کر کے دوسرے سرور (matrixnotorg.github.io) پر بھیج دیا گیا۔ پہلی ہیک کے بعد سرورز کے مواد کو دوبارہ تعمیر کرتے وقت، میٹرکس کے منتظمین نے صرف نئی ذاتی کلیدوں کو اپ ڈیٹ کیا اور Cloudflare کی کلید کو اپ ڈیٹ کرنا چھوڑ دیا۔

دوسرے حملے کے دوران، میٹرکس سرورز اچھوت رہے؛ تبدیلیاں صرف ڈی این ایس میں پتوں کو تبدیل کرنے تک محدود تھیں۔ اگر صارف پہلے حملے کے بعد پاس ورڈ تبدیل کر چکا ہے تو اسے دوسری بار تبدیل کرنے کی ضرورت نہیں ہے۔ لیکن اگر پاس ورڈ ابھی تک تبدیل نہیں کیا گیا ہے، تو اسے جلد از جلد اپ ڈیٹ کرنے کی ضرورت ہے، کیونکہ پاس ورڈ ہیش کے ساتھ ڈیٹا بیس کے لیک ہونے کی تصدیق ہو چکی ہے۔ موجودہ منصوبہ یہ ہے کہ اگلی بار جب آپ لاگ ان ہوں گے تو پاس ورڈ دوبارہ ترتیب دینے کا عمل شروع کیا جائے۔

پاس ورڈز کے لیک ہونے کے علاوہ، اس بات کی بھی تصدیق ہوئی ہے کہ Debian Synapse ریپوزٹری اور Riot/Web ریلیز میں پیکجز کے لیے ڈیجیٹل دستخط بنانے کے لیے استعمال ہونے والی GPG کیز حملہ آوروں کے ہاتھ لگ گئی ہیں۔ چابیاں پاس ورڈ سے محفوظ تھیں۔ اس وقت چابیاں پہلے ہی منسوخ کر دی گئی ہیں۔ چابیاں 4 اپریل کو روکی گئیں، اس کے بعد سے کوئی Synapse اپ ڈیٹ جاری نہیں کیا گیا، لیکن Riot/Web کلائنٹ 1.0.7 جاری کیا گیا (ابتدائی جانچ سے پتہ چلتا ہے کہ اس سے سمجھوتہ نہیں کیا گیا تھا)۔

حملہ آور نے GitHub پر حملے کی تفصیلات اور تحفظ کو بڑھانے کے لیے تجاویز کے ساتھ رپورٹس کا ایک سلسلہ شائع کیا، لیکن انہیں حذف کر دیا گیا۔ تاہم آرکائیو شدہ رپورٹس محفوظ.
مثال کے طور پر، حملہ آور نے اطلاع دی کہ میٹرکس ڈویلپرز کو کرنا چاہیے۔ استعمال کریں دو عنصر کی توثیق یا کم از کم SSH ایجنٹ ری ڈائریکشن ("ForwardAgent yes") کا استعمال نہ کرنا، تو انفراسٹرکچر میں دخول کو روک دیا جائے گا۔ ڈویلپرز کو صرف ضروری مراعات دے کر بھی حملے میں اضافے کو روکا جا سکتا ہے۔ مکمل جڑ تک رسائی تمام سرورز پر۔

مزید برآں، پروڈکشن سرورز پر ڈیجیٹل دستخط بنانے کے لیے چابیاں ذخیرہ کرنے کے عمل پر تنقید کی گئی؛ ایسے مقاصد کے لیے ایک الگ الگ میزبان مختص کیا جانا چاہیے۔ اب بھی حملہ کر رہے ہیں۔ сообщил، کہ اگر میٹرکس کے ڈویلپرز نے لاگز کا باقاعدگی سے آڈٹ کیا ہوتا اور بے ضابطگیوں کا تجزیہ کیا ہوتا، تو انہوں نے جلد ہی ہیک کے نشانات دیکھے ہوتے (سی آئی ہیک کا ایک ماہ تک پتہ نہیں چلا)۔ ایک اور مسئلہ یہ تھا Git میں تمام کنفیگریشن فائلوں کو اسٹور کرنا، جس سے دوسرے میزبانوں کی سیٹنگز کا جائزہ لینا ممکن ہو گیا اگر ان میں سے کسی ایک کو ہیک کیا گیا ہو۔ SSH کے ذریعے انفراسٹرکچر سرورز تک رسائی نہیں تھا ایک محفوظ اندرونی نیٹ ورک تک محدود، جس نے کسی بھی بیرونی پتے سے ان سے رابطہ ممکن بنایا۔

ماخذ: opennet.ru

[:]