新 關於去中心化訊息平台 Matrix 基礎架構遭到駭客攻擊, 在早晨。 攻擊者滲透的問題環節是 Jenkins 持續整合系統,該系統於 13 月 4 日遭到駭客攻擊。 然後,在 Jenkins 伺服器上,其中一名管理員的登入資訊(由 SSH 代理重定向)被攔截,攻擊者於 XNUMX 月 XNUMX 日獲得了對其他基礎設施伺服器的存取權限。
在第二次攻擊期間,使用第一次攻擊期間截獲的 Cloudflare 內容交付系統 API 的金鑰,透過更改 DNS 參數,將 Matrix.org 網站重新導向到另一台伺服器 (matrixnotorg.github.io)。 在第一次駭客攻擊後重建伺服器內容時,Matrix 管理員僅更新了新的個人金鑰,而錯過了更新 Cloudflare 的金鑰。
在第二次攻擊期間,Matrix 伺服器保持不變;更改僅限於替換 DNS 中的位址。 如果使用者在第一次攻擊後已經更改過密碼,則無需進行第二次更改。 但如果密碼尚未更改,則需要盡快更新,因為密碼雜湊資料庫的洩漏已被確認。 目前計劃是在您下次登入時啟動強制密碼重設程序。
除了密碼外洩外,還確認用於為 Debian Synapse 儲存庫和 Riot/Web 版本中的軟體包產生數位簽章的 GPG 金鑰已落入攻擊者手中。 密鑰受密碼保護。 此時密鑰已被撤銷。 金鑰於 4 月 1.0.7 日被截獲,此後沒有發布任何 Synapse 更新,但發布了 Riot/Web 用戶端 XNUMX(初步檢查表明它沒有受到損害)。
攻擊者在 GitHub 上發布了一系列報告,其中包含攻擊的詳細資訊以及增強保護的提示,但這些報告已被刪除。 然而,存檔的報告 .
例如,攻擊者報告 Matrix 開發人員應該 雙重認證或至少不使用 SSH 代理重定向(“ForwardAgent yes”),那麼對基礎設施的滲透將被阻止。 也可以透過僅給予開發人員必要的權限來阻止攻擊升級,而不是 在所有伺服器上。
此外,在生產伺服器上儲存用於建立數位簽章的金鑰的做法受到批評;應為此類目的分配一個單獨的隔離主機。 仍在進攻 ,如果 Matrix 開發人員定期審核日誌並分析異常情況,他們就會很早就注意到駭客攻擊的痕跡(CI 駭客攻擊在一個月內未被發現)。 另一個問題 將所有設定檔儲存在 Git 中,這樣,如果其中一台主機遭到駭客攻擊,就可以評估其他主機的設定。 透過 SSH 存取基礎架構伺服器 僅限於安全的內部網絡,這使得可以從任何外部位址連接到它們。
[:EN]新 關於去中心化訊息平台 Matrix 基礎架構遭到駭客攻擊, 在早晨。 攻擊者滲透的問題環節是 Jenkins 持續整合系統,該系統於 13 月 4 日遭到駭客攻擊。 然後,在 Jenkins 伺服器上,其中一名管理員的登入資訊(由 SSH 代理重定向)被攔截,攻擊者於 XNUMX 月 XNUMX 日獲得了對其他基礎設施伺服器的存取權限。
在第二次攻擊期間,使用第一次攻擊期間截獲的 Cloudflare 內容交付系統 API 的金鑰,透過更改 DNS 參數,將 Matrix.org 網站重新導向到另一台伺服器 (matrixnotorg.github.io)。 在第一次駭客攻擊後重建伺服器內容時,Matrix 管理員僅更新了新的個人金鑰,而錯過了更新 Cloudflare 的金鑰。
在第二次攻擊期間,Matrix 伺服器保持不變;更改僅限於替換 DNS 中的位址。 如果使用者在第一次攻擊後已經更改過密碼,則無需進行第二次更改。 但如果密碼尚未更改,則需要盡快更新,因為密碼雜湊資料庫的洩漏已被確認。 目前計劃是在您下次登入時啟動強制密碼重設程序。
除了密碼外洩外,還確認用於為 Debian Synapse 儲存庫和 Riot/Web 版本中的軟體包產生數位簽章的 GPG 金鑰已落入攻擊者手中。 密鑰受密碼保護。 此時密鑰已被撤銷。 金鑰於 4 月 1.0.7 日被截獲,此後沒有發布任何 Synapse 更新,但發布了 Riot/Web 用戶端 XNUMX(初步檢查表明它沒有受到損害)。
攻擊者在 GitHub 上發布了一系列報告,其中包含攻擊的詳細資訊以及增強保護的提示,但這些報告已被刪除。 然而,存檔的報告 .
例如,攻擊者報告 Matrix 開發人員應該 雙重認證或至少不使用 SSH 代理重定向(“ForwardAgent yes”),那麼對基礎設施的滲透將被阻止。 也可以透過僅給予開發人員必要的權限來阻止攻擊升級,而不是 在所有伺服器上。
此外,在生產伺服器上儲存用於建立數位簽章的金鑰的做法受到批評;應為此類目的分配一個單獨的隔離主機。 仍在進攻 ,如果 Matrix 開發人員定期審核日誌並分析異常情況,他們就會很早就注意到駭客攻擊的痕跡(CI 駭客攻擊在一個月內未被發現)。 另一個問題 將所有設定檔儲存在 Git 中,這樣,如果其中一台主機遭到駭客攻擊,就可以評估其他主機的設定。 透過 SSH 存取基礎架構伺服器 僅限於安全的內部網絡,這使得可以從任何外部位址連接到它們。
來源: opennet.ru
[:]