Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта

Oпубликoвaны нoвыe пoдрoбнoсти прo взлoм инфрaструктуры дeцeнтрaлизoвaннoй плaтфoрмы oбмeнa сooбщeниями Matrix, o кoтoрoм сooбщaлoсь утрoм. Прoблeмным звeнoм, чeрeз кoтoрoe проникли атакующие была режим непрерывной интеграции Jenkins, которая была взломана всё ещё 13 марта. Затем на сервере c Jenkins был перехвачен переориентированный SSH-агентом вход одного из администраторов и 4 апреля атакующие получили ход к другим серверам инфраструктуры. При следующий атаке сайт matrix.org был перенаправлен получи другой сервер (matrixnotorg.github.io) черезо изменение параметров DNS, используя перехваченный около первой атаке ключ к API системы доставки контента Сloudflare. Около пересборке содержимого серверов после первого взлома администраторы Matrix обновили лишь только новые персональные ключи и упустили возрождение ключа к Сloudflare. В ходе второй атаки серверы Matrix остались нетронутыми, изменения ограничились в какой-нибудь месяц заменой адресов в DNS. В случае если юзер уже сменил пароль после первой атаки, другой раз его менять не нужно. А если пароль до сих пор приставки не- изменён, его нужно обновить (языко можно скорее, так как потеря базы с хэшами паролей подтверждена. В чистокровный момента планируется инициировать процесс принудительного сброса пароля около следующем входе. Кроме утечки паролей и подтверждено попадание в руки атаковавших GPG-ключей, используемых угоду кому) формирования цифровых подписей пакетов в Debian-репозитории Synapse и релизов Riot/Web. В заправский момент ключи уже отозваны. Шлюзы были перехвачены 4 апреля, с тех пор обновлений Synapse далеко не выпускалось, но был релиз клиента Riot/Web 1.0.7 (предварительная ревизия показала, что он не был скомпрометирован). Тем неважный (=маловажный) менее, в архиве отчёты сохранились. Хоть бы, взломщик сообщил, что разработчикам Matrix следовало истощить двухфакторную аутентификацию или хотя бы никак не использовать перенаправление SSH-агентом ("ForwardAgent yes"), позднее проникновение в инфраструктуру было бы блокировано. Эскалацию атаки и можно было остановить предоставляя разработчикам просто-напросто необходимые привилегии, а не полный root-вход на всех серверах. Дополнительно раскритикована круг хранения ключей для создания цифровых подписей возьми рабочих серверах, для подобных целей следовало бы отпустить отдельный изолированный хост. Ещё атакующий сообщил, сколько если бы разработчики Matrix систематически проводили аудит логов и анализировали аномалии, они бы заметили жмых взлома на раннем этапе (хакинг CI оставался незамеченным целый месяц). Пока одной проблемой было хранение всех файлов конфигурации в Git, яко позволяло оценить настройки других хостов возле взломе одного из них. Проход по SSH к серверам инфраструктуры не был ограничен защищённой внутренней сетью, почему позволяло подключиться к ним с любого внешнего адреса. Сольфатор: http://www.opennet.ru/opennews/art.shtml?num=50502