новые markazlashmagan Matrix xabar almashish platformasi infratuzilmasini buzish haqida, bu haqda ertalabda. Hujumchilar kirib kelgan muammoli bo'g'in 13 mart kuni buzilgan Jenkins uzluksiz integratsiya tizimi edi. Keyin Jenkins serverida SSH agenti tomonidan yo‘naltirilgan administratorlardan birining logini ushlandi va 4 aprel kuni hujumchilar boshqa infratuzilma serverlariga kirish huquqiga ega bo‘ldi.
Ikkinchi hujum paytida matrix.org veb-sayti DNS parametrlarini o'zgartirish orqali boshqa serverga (matrixnotorg.github.io) yo'naltirildi, birinchi hujum paytida ushlangan Cloudflare kontentni yetkazib berish tizimi API kaliti yordamida. Birinchi xakerlikdan so'ng serverlar tarkibini qayta tiklashda Matrix ma'murlari faqat yangi shaxsiy kalitlarni yangiladilar va Cloudflare kalitini yangilashni o'tkazib yubordilar.
Ikkinchi hujum paytida Matrix serverlari daxlsiz qoldi, o'zgarishlar faqat DNS-dagi manzillarni almashtirish bilan cheklandi. Agar foydalanuvchi birinchi hujumdan keyin parolni o'zgartirgan bo'lsa, uni ikkinchi marta o'zgartirishga hojat yo'q. Ammo agar parol hali o'zgartirilmagan bo'lsa, uni imkon qadar tezroq yangilash kerak, chunki parol xeshlari bilan ma'lumotlar bazasining sizib chiqishi tasdiqlangan. Joriy reja keyingi safar tizimga kirganingizda parolni majburiy tiklash jarayonini boshlashdan iborat.
Parollarning sizib chiqishi bilan bir qatorda, Debian Synapse ombori va Riot/Web relizlaridagi paketlar uchun raqamli imzolarni yaratishda foydalanilgan GPG kalitlari tajovuzkorlar qo‘liga o‘tgani ham tasdiqlandi. Kalitlar parol bilan himoyalangan. Bu vaqtda kalitlar allaqachon bekor qilingan. Kalitlar 4-aprelda ushlangan, shundan beri Synapse yangilanishlari chiqarilmagan, biroq Riot/Web mijozi 1.0.7 chiqarildi (dastlabki tekshirish uning buzilmaganligini ko‘rsatdi).
Hujumchi GitHub’da hujum tafsilotlari va himoyani kuchaytirish bo‘yicha maslahatlar bilan bir qator hisobotlarni joylashtirdi, biroq ular o‘chirib tashlandi. Biroq, arxivlangan hisobotlar .
Misol uchun, tajovuzkor Matrix ishlab chiquvchilari kerak, deb xabar berdi ikki faktorli autentifikatsiya yoki hech bo'lmaganda SSH agentini qayta yo'naltirishni ishlatmaslik ("ForwardAgent ha"), keyin infratuzilmaga kirish bloklanadi. Hujumning kuchayishini ishlab chiquvchilarga emas, balki faqat kerakli imtiyozlar berish orqali ham to'xtatish mumkin edi barcha serverlarda.
Bundan tashqari, ishlab chiqarish serverlarida raqamli imzolarni yaratish kalitlarini saqlash amaliyoti tanqid qilindi, bunday maqsadlar uchun alohida ajratilgan xost ajratilishi kerak. Hali ham hujum , agar Matrix ishlab chiquvchilari jurnallarni muntazam tekshirib, anomaliyalarni tahlil qilsalar, ular xakerlik izlarini erta payqagan bo'lardi (CI buzg'unchiligi bir oy davomida aniqlanmadi). Yana bir muammo Git-da barcha konfiguratsiya fayllarini saqlash, agar ulardan biri buzilgan bo'lsa, boshqa xostlarning sozlamalarini baholashga imkon berdi. SSH orqali infratuzilma serverlariga kirish xavfsiz ichki tarmoq bilan cheklangan, bu ularga har qanday tashqi manzildan ulanish imkonini berdi.
manbaopennet.ru
[: uz]новые markazlashmagan Matrix xabar almashish platformasi infratuzilmasini buzish haqida, bu haqda ertalabda. Hujumchilar kirib kelgan muammoli bo'g'in 13 mart kuni buzilgan Jenkins uzluksiz integratsiya tizimi edi. Keyin Jenkins serverida SSH agenti tomonidan yo‘naltirilgan administratorlardan birining logini ushlandi va 4 aprel kuni hujumchilar boshqa infratuzilma serverlariga kirish huquqiga ega bo‘ldi.
Ikkinchi hujum paytida matrix.org veb-sayti DNS parametrlarini o'zgartirish orqali boshqa serverga (matrixnotorg.github.io) yo'naltirildi, birinchi hujum paytida ushlangan Cloudflare kontentni yetkazib berish tizimi API kaliti yordamida. Birinchi xakerlikdan so'ng serverlar tarkibini qayta tiklashda Matrix ma'murlari faqat yangi shaxsiy kalitlarni yangiladilar va Cloudflare kalitini yangilashni o'tkazib yubordilar.
Ikkinchi hujum paytida Matrix serverlari daxlsiz qoldi, o'zgarishlar faqat DNS-dagi manzillarni almashtirish bilan cheklandi. Agar foydalanuvchi birinchi hujumdan keyin parolni o'zgartirgan bo'lsa, uni ikkinchi marta o'zgartirishga hojat yo'q. Ammo agar parol hali o'zgartirilmagan bo'lsa, uni imkon qadar tezroq yangilash kerak, chunki parol xeshlari bilan ma'lumotlar bazasining sizib chiqishi tasdiqlangan. Joriy reja keyingi safar tizimga kirganingizda parolni majburiy tiklash jarayonini boshlashdan iborat.
Parollarning sizib chiqishi bilan bir qatorda, Debian Synapse ombori va Riot/Web relizlaridagi paketlar uchun raqamli imzolarni yaratishda foydalanilgan GPG kalitlari tajovuzkorlar qo‘liga o‘tgani ham tasdiqlandi. Kalitlar parol bilan himoyalangan. Bu vaqtda kalitlar allaqachon bekor qilingan. Kalitlar 4-aprelda ushlangan, shundan beri Synapse yangilanishlari chiqarilmagan, biroq Riot/Web mijozi 1.0.7 chiqarildi (dastlabki tekshirish uning buzilmaganligini ko‘rsatdi).
Hujumchi GitHub’da hujum tafsilotlari va himoyani kuchaytirish bo‘yicha maslahatlar bilan bir qator hisobotlarni joylashtirdi, biroq ular o‘chirib tashlandi. Biroq, arxivlangan hisobotlar .
Misol uchun, tajovuzkor Matrix ishlab chiquvchilari kerak, deb xabar berdi ikki faktorli autentifikatsiya yoki hech bo'lmaganda SSH agentini qayta yo'naltirishni ishlatmaslik ("ForwardAgent ha"), keyin infratuzilmaga kirish bloklanadi. Hujumning kuchayishini ishlab chiquvchilarga emas, balki faqat kerakli imtiyozlar berish orqali ham to'xtatish mumkin edi barcha serverlarda.
Bundan tashqari, ishlab chiqarish serverlarida raqamli imzolarni yaratish kalitlarini saqlash amaliyoti tanqid qilindi, bunday maqsadlar uchun alohida ajratilgan xost ajratilishi kerak. Hali ham hujum , agar Matrix ishlab chiquvchilari jurnallarni muntazam tekshirib, anomaliyalarni tahlil qilsalar, ular xakerlik izlarini erta payqagan bo'lardi (CI buzg'unchiligi bir oy davomida aniqlanmadi). Yana bir muammo Git-da barcha konfiguratsiya fayllarini saqlash, agar ulardan biri buzilgan bo'lsa, boshqa xostlarning sozlamalarini baholashga imkon berdi. SSH orqali infratuzilma serverlariga kirish xavfsiz ichki tarmoq bilan cheklangan, bu ularga har qanday tashqi manzildan ulanish imkonini berdi.
Manba: opennet.ru
[:]