主持人 > 博客 > 网络新闻 > 有关第二次 Matrix 黑客攻击的详细信息。 项目 GPG 密钥遭到泄露

有关第二次 Matrix 黑客攻击的详细信息。 项目 GPG 密钥遭到泄露

[:俄]

发表详细信息 关于去中心化消息平台 Matrix 基础设施遭到黑客攻击, сообщалось 在早晨。 攻击者渗透的问题环节是 Jenkins 持续集成系统,该系统于 13 月 4 日遭到黑客攻击。 然后,在 Jenkins 服务器上,其中一名管理员的登录信息(由 SSH 代理重定向)被拦截,攻击者于 XNUMX 月 XNUMX 日获得了对其他基础设施服务器的访问权限。

在第二次攻击期间,使用第一次攻击期间截获的 Cloudflare 内容交付系统 API 的密钥,通过更改 DNS 参数,将 Matrix.org 网站重定向到另一台服务器 (matrixnotorg.github.io)。 在第一次黑客攻击后重建服务器内容时,Matrix 管理员仅更新了新的个人密钥,而错过了更新 Cloudflare 的密钥。

在第二次攻击期间,Matrix 服务器保持不变;更改仅限于替换 DNS 中的地址。 如果用户在第一次攻击后已经更改过密码,则无需进行第二次更改。 但如果密码尚未更改,则需要尽快更新,因为密码哈希数据库的泄漏已被确认。 当前计划是在您下次登录时启动强制密码重置过程。

除了密码泄露之外,还确认用于为 Debian Synapse 存储库和 Riot/Web 版本中的软件包生成数字签名的 GPG 密钥已落入攻击者手中。 密钥受密码保护。 此时密钥已被撤销。 密钥于 4 月 1.0.7 日被截获,此后没有发布任何 Synapse 更新,但发布了 Riot/Web 客户端 XNUMX(初步检查表明它没有受到损害)。

攻击者在 GitHub 上发布了一系列报告,其中包含攻击的详细信息以及增强保护的提示,但这些报告已被删除。 然而,存档的报告 保存完好的.
例如,攻击者报告称 Matrix 开发人员应该 使用 双因素身份验证或至少不使用 SSH 代理重定向(“ForwardAgent yes”),那么对基础设施的渗透将被阻止。 也可以通过仅授予开发人员必要的权限来阻止攻击升级,而不是 完全root访问权限 在所有服务器上。

此外,在生产服务器上存储用于创建数字签名的密钥的做法受到批评;应为此类目的分配一个单独的隔离主机。 仍在进攻 сообщил,如果 Matrix 开发人员定期审核日志并分析异常情况,他们就会很早就注意到黑客攻击的痕迹(CI 黑客攻击在一个月内未被发现)。 另一个问题 将所有配置文件存储在 Git 中,这样,如果其中一台主机遭到黑客攻击,就可以评估其他主机的设置。 通过 SSH 访问基础设施服务器 不是 仅限于安全的内部网络,这使得可以从任何外部地址连接到它们。

opennet.ru

[:恩]

发表详细信息 关于去中心化消息平台 Matrix 基础设施遭到黑客攻击, сообщалось 在早晨。 攻击者渗透的问题环节是 Jenkins 持续集成系统,该系统于 13 月 4 日遭到黑客攻击。 然后,在 Jenkins 服务器上,其中一名管理员的登录信息(由 SSH 代理重定向)被拦截,攻击者于 XNUMX 月 XNUMX 日获得了对其他基础设施服务器的访问权限。

在第二次攻击期间,使用第一次攻击期间截获的 Cloudflare 内容交付系统 API 的密钥,通过更改 DNS 参数,将 Matrix.org 网站重定向到另一台服务器 (matrixnotorg.github.io)。 在第一次黑客攻击后重建服务器内容时,Matrix 管理员仅更新了新的个人密钥,而错过了更新 Cloudflare 的密钥。

在第二次攻击期间,Matrix 服务器保持不变;更改仅限于替换 DNS 中的地址。 如果用户在第一次攻击后已经更改过密码,则无需进行第二次更改。 但如果密码尚未更改,则需要尽快更新,因为密码哈希数据库的泄漏已被确认。 当前计划是在您下次登录时启动强制密码重置过程。

除了密码泄露之外,还确认用于为 Debian Synapse 存储库和 Riot/Web 版本中的软件包生成数字签名的 GPG 密钥已落入攻击者手中。 密钥受密码保护。 此时密钥已被撤销。 密钥于 4 月 1.0.7 日被截获,此后没有发布任何 Synapse 更新,但发布了 Riot/Web 客户端 XNUMX(初步检查表明它没有受到损害)。

攻击者在 GitHub 上发布了一系列报告,其中包含攻击的详细信息以及增强保护的提示,但这些报告已被删除。 然而,存档的报告 保存完好的.
例如,攻击者报告称 Matrix 开发人员应该 使用 双因素身份验证或至少不使用 SSH 代理重定向(“ForwardAgent yes”),那么对基础设施的渗透将被阻止。 也可以通过仅授予开发人员必要的权限来阻止攻击升级,而不是 完全root访问权限 在所有服务器上。

此外,在生产服务器上存储用于创建数字签名的密钥的做法受到批评;应为此类目的分配一个单独的隔离主机。 仍在进攻 сообщил,如果 Matrix 开发人员定期审核日志并分析异常情况,他们就会很早就注意到黑客攻击的痕迹(CI 黑客攻击在一个月内未被发现)。 另一个问题 将所有配置文件存储在 Git 中,这样,如果其中一台主机遭到黑客攻击,就可以评估其他主机的设置。 通过 SSH 访问基础设施服务器 不是 仅限于安全的内部网络,这使得可以从任何外部地址连接到它们。

来源: opennet.ru

[:]

添加评论