mới về vụ hack cơ sở hạ tầng của nền tảng nhắn tin phi tập trung Matrix, về việc này vào buổi sáng. Liên kết có vấn đề mà những kẻ tấn công xâm nhập là hệ thống tích hợp liên tục của Jenkins, hệ thống này đã bị hack vào ngày 13 tháng 4. Sau đó, trên máy chủ Jenkins, thông tin đăng nhập của một trong các quản trị viên, được chuyển hướng bởi một tác nhân SSH, đã bị chặn và vào ngày XNUMX tháng XNUMX, những kẻ tấn công đã giành được quyền truy cập vào các máy chủ cơ sở hạ tầng khác.
Trong cuộc tấn công thứ hai, trang web Matrix.org đã được chuyển hướng đến một máy chủ khác (matrixnotorg.github.io) bằng cách thay đổi thông số DNS, sử dụng khóa API hệ thống phân phối nội dung Cloudflare bị chặn trong cuộc tấn công đầu tiên. Khi xây dựng lại nội dung của các máy chủ sau lần hack đầu tiên, quản trị viên Matrix chỉ cập nhật key cá nhân mới và bỏ lỡ việc cập nhật key lên Cloudflare.
Trong cuộc tấn công thứ hai, các máy chủ Matrix vẫn không bị ảnh hưởng; các thay đổi chỉ giới hạn ở việc thay thế địa chỉ trong DNS. Nếu người dùng đã thay đổi mật khẩu sau lần tấn công đầu tiên thì không cần phải thay đổi lần thứ hai. Nhưng nếu mật khẩu vẫn chưa được thay đổi, nó cần được cập nhật càng sớm càng tốt, vì việc rò rỉ cơ sở dữ liệu với các hàm băm mật khẩu đã được xác nhận. Kế hoạch hiện tại là bắt đầu quá trình đặt lại mật khẩu bắt buộc vào lần đăng nhập tiếp theo.
Ngoài việc rò rỉ mật khẩu, người ta cũng xác nhận rằng các khóa GPG được sử dụng để tạo chữ ký điện tử cho các gói trong kho lưu trữ Debian Synapse và các bản phát hành Riot/Web đã rơi vào tay kẻ tấn công. Các phím đã được bảo vệ bằng mật khẩu. Các phím đã bị thu hồi tại thời điểm này. Các khóa đã bị chặn vào ngày 4 tháng 1.0.7, kể từ đó không có bản cập nhật Synapse nào được phát hành, nhưng Riot/Web client XNUMX đã được phát hành (kiểm tra sơ bộ cho thấy nó không bị xâm phạm).
Kẻ tấn công đã đăng một loạt báo cáo lên GitHub với thông tin chi tiết về cuộc tấn công và mẹo để tăng cường bảo vệ, nhưng chúng đã bị xóa. Tuy nhiên, các báo cáo lưu trữ .
Ví dụ: kẻ tấn công đã báo cáo rằng các nhà phát triển Matrix nên xác thực hai yếu tố hoặc ít nhất là không sử dụng chuyển hướng tác nhân SSH (“ForwardAgent có”), thì việc xâm nhập vào cơ sở hạ tầng sẽ bị chặn. Sự leo thang của cuộc tấn công cũng có thể được ngăn chặn bằng cách chỉ cấp cho các nhà phát triển những đặc quyền cần thiết, thay vì trên tất cả các máy chủ.
Ngoài ra, việc lưu trữ khóa để tạo chữ ký số trên các máy chủ sản xuất đã bị chỉ trích; một máy chủ riêng biệt nên được phân bổ cho các mục đích đó. Vẫn tấn công , rằng nếu các nhà phát triển Matrix thường xuyên kiểm tra nhật ký và phân tích các điểm bất thường, họ sẽ sớm nhận ra dấu vết của một vụ hack (vụ hack CI không bị phát hiện trong một tháng). Một vấn đề khác lưu trữ tất cả các tệp cấu hình trong Git, giúp đánh giá cài đặt của các máy chủ khác nếu một trong số chúng bị hack. Truy cập qua SSH tới các máy chủ cơ sở hạ tầng được giới hạn ở một mạng nội bộ an toàn, điều này cho phép kết nối với họ từ bất kỳ địa chỉ bên ngoài nào.
Nguồnopennet.ru
[: En]mới về vụ hack cơ sở hạ tầng của nền tảng nhắn tin phi tập trung Matrix, về việc này vào buổi sáng. Liên kết có vấn đề mà những kẻ tấn công xâm nhập là hệ thống tích hợp liên tục của Jenkins, hệ thống này đã bị hack vào ngày 13 tháng 4. Sau đó, trên máy chủ Jenkins, thông tin đăng nhập của một trong các quản trị viên, được chuyển hướng bởi một tác nhân SSH, đã bị chặn và vào ngày XNUMX tháng XNUMX, những kẻ tấn công đã giành được quyền truy cập vào các máy chủ cơ sở hạ tầng khác.
Trong cuộc tấn công thứ hai, trang web Matrix.org đã được chuyển hướng đến một máy chủ khác (matrixnotorg.github.io) bằng cách thay đổi thông số DNS, sử dụng khóa API hệ thống phân phối nội dung Cloudflare bị chặn trong cuộc tấn công đầu tiên. Khi xây dựng lại nội dung của các máy chủ sau lần hack đầu tiên, quản trị viên Matrix chỉ cập nhật key cá nhân mới và bỏ lỡ việc cập nhật key lên Cloudflare.
Trong cuộc tấn công thứ hai, các máy chủ Matrix vẫn không bị ảnh hưởng; các thay đổi chỉ giới hạn ở việc thay thế địa chỉ trong DNS. Nếu người dùng đã thay đổi mật khẩu sau lần tấn công đầu tiên thì không cần phải thay đổi lần thứ hai. Nhưng nếu mật khẩu vẫn chưa được thay đổi, nó cần được cập nhật càng sớm càng tốt, vì việc rò rỉ cơ sở dữ liệu với các hàm băm mật khẩu đã được xác nhận. Kế hoạch hiện tại là bắt đầu quá trình đặt lại mật khẩu bắt buộc vào lần đăng nhập tiếp theo.
Ngoài việc rò rỉ mật khẩu, người ta cũng xác nhận rằng các khóa GPG được sử dụng để tạo chữ ký điện tử cho các gói trong kho lưu trữ Debian Synapse và các bản phát hành Riot/Web đã rơi vào tay kẻ tấn công. Các phím đã được bảo vệ bằng mật khẩu. Các phím đã bị thu hồi tại thời điểm này. Các khóa đã bị chặn vào ngày 4 tháng 1.0.7, kể từ đó không có bản cập nhật Synapse nào được phát hành, nhưng Riot/Web client XNUMX đã được phát hành (kiểm tra sơ bộ cho thấy nó không bị xâm phạm).
Kẻ tấn công đã đăng một loạt báo cáo lên GitHub với thông tin chi tiết về cuộc tấn công và mẹo để tăng cường bảo vệ, nhưng chúng đã bị xóa. Tuy nhiên, các báo cáo lưu trữ .
Ví dụ: kẻ tấn công đã báo cáo rằng các nhà phát triển Matrix nên xác thực hai yếu tố hoặc ít nhất là không sử dụng chuyển hướng tác nhân SSH (“ForwardAgent có”), thì việc xâm nhập vào cơ sở hạ tầng sẽ bị chặn. Sự leo thang của cuộc tấn công cũng có thể được ngăn chặn bằng cách chỉ cấp cho các nhà phát triển những đặc quyền cần thiết, thay vì trên tất cả các máy chủ.
Ngoài ra, việc lưu trữ khóa để tạo chữ ký số trên các máy chủ sản xuất đã bị chỉ trích; một máy chủ riêng biệt nên được phân bổ cho các mục đích đó. Vẫn tấn công , rằng nếu các nhà phát triển Matrix thường xuyên kiểm tra nhật ký và phân tích các điểm bất thường, họ sẽ sớm nhận ra dấu vết của một vụ hack (vụ hack CI không bị phát hiện trong một tháng). Một vấn đề khác lưu trữ tất cả các tệp cấu hình trong Git, giúp đánh giá cài đặt của các máy chủ khác nếu một trong số chúng bị hack. Truy cập qua SSH tới các máy chủ cơ sở hạ tầng được giới hạn ở một mạng nội bộ an toàn, điều này cho phép kết nối với họ từ bất kỳ địa chỉ bên ngoài nào.
Nguồn: opennet.ru
[:]