Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили (https://twitter.com/matrixdotorg/status/1116304867683905537) об экстренном отключении серверов Matrix.org (http://Matrix.org) и Riot.im (http://Riot.im) (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена (https://twitter.com/matrixdotorg/status/1116517160187248640), а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы (https://twitter.com/matrixdotorg/status/1116593380102852608) второй раз.

Атакующие разместили (https://archive.md/SknNR) на главной странице проекта (https://matrix.org/) детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён (https://github.com/matrixnotorg/matrixnotorg.github.io) в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют (https://twitter.com/matrixdotorg).

После первого взлома командой Matrix был опубликован отчёт (https://archive.md/JlR6v), в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.

Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи столкнулись (https://github.com/vector-im/riot-web/issues/9434) с пропаданием файлов с резервными копиями ключей для восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix (https://github.com/matrix-org) преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола, использующего в том числе алгоритм Double Ratchet (также используемого как часть протокола Signal), поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).

Дополнение: Опубликовано (https://www.opennet.ru/opennews/art.shtml?num=50502) продолжение с описанием второго взлома, информацией об утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.



12.04.2019

http://www.opennet.ru/opennews/art.shtml?num=50501​

Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта

Опубликованы (https://matrix.org/blog/2019/04/11/security-incident/) новые подробности (https://github.com/matrix-org/matrix.org/issues/created_by/matrixnotorg) про взлом инфраструктуры децентрализованной платформы обмена сообщениями Matrix, о котором сообщалось (https://www.opennet.ru/opennews/art.shtml?num=50501) утром. Проблемным звеном, через которое проникли атакующие была система непрерывной интеграции Jenkins, которая была взломана ещё 13 марта. Затем на сервере c Jenkins был перехвачен перенаправленный SSH-агентом вход одного из администраторов и 4 апреля атакующие получили доступ к другим серверам инфраструктуры.

При второй атаке сайт matrix.org был перенаправлен на другой сервер (matrixnotorg.github.io) через изменение параметров DNS, используя перехваченный при первой атаке ключ к API системы доставки контента Сloudflare. При пересборке содержимого серверов после первого взлома администраторы Matrix обновили только новые персональные ключи и упустили обновление ключа к Сloudflare.

В ходе второй атаки серверы Matrix остались нетронутыми, изменения ограничились только заменой адресов в DNS. В случае если пользователь уже сменил пароль после первой атаки, второй раз его менять не нужно. Но если пароль до сих пор не изменён, его нужно обновить как можно скорее, так как утечка базы с хэшами паролей подтверждена. В настоящий момента планируется инициировать процесс принудительного сброса пароля при следующем входе.

Кроме утечки паролей также подтверждено попадание в руки атаковавших GPG-ключей, используемых для формирования цифровых подписей пакетов в Debian-репозитории Synapse и релизов Riot/Web. Ключи были защищены паролем. В настоящий момент ключи уже отозваны. Ключи были перехвачены 4 апреля, но с тех пор обновлений Synapse не выпускалось, но был релиз клиента Riot/Web 1.0.7, (предварительная проверка показала, что он не был скомпрометирован).

Атакующий разместил на GitHub серию отчётов с подробностями атаки и советами по увеличению защиты, но они были удалены. Тем не менее, в архиве отчёты сохранились (https://archive.md/MfrjB). Например, взломщик сообщил, что разработчикам Marix следовало использовать (https://archive.md/sLmDS) двухфакторную аутентификацию или хотя бы не использовать перенаправление SSH-агентом ("ForwardAgent yes"), тогда проникновение в инфраструктуру было бы блокировано. Эскалацию атаки также можно было остановить предоставляя разработчикам только необходимые привилегии, а не полный root-доступ (https://archive.md/mk9iZ#selection-1279.0-1279.291) на всех серверах.

Дополнительно раскритикована практика хранения ключей для создания цифровых подписей на рабочих серверах, для подобных целей следовало бы выделить отдельный изолированный хост. Ещё атакующий сообщил (https://archive.md/P0DXu), что если бы разработчики Matrix регулярно проводили аудит логов и анализировали аномалии, они бы заметили следы взлома на раннем этапе (взлом CI оставался незамеченным целый месяц). Ещё одной проблемой было (https://archive.md/CTfGs) хранение всех файлов конфигурации в Git, что позволяло оценить настройки других хостов при взломе одного из них. Доступ по SSH к серверам инфраструктуры не был (https://archive.md/Z8wZ4#selection-1279.0-1279.229) ограничен защищённой внутренней сетью, что позволяло подключиться к ним с любого внешнего адреса.

12.04.2019

http://www.opennet.ru/opennews/art.shtml?num=50502​

И за чем Хранит логи пользователей хочется спросить? А вообще нахрена по shh сделали вход, даи с полным root букетом? О чем может идти речь,в плане приватности и безопасности, когда ей не пахнет.

Посмеялся он от души кончено, что над matrix что над пользователями

И я больше чем уверен,сменить пароль он же всем и сказал,пока псевдо админы пьют чай и не думая не о чём, ведь у них в голове как и у самих пользователей сквозная дырка в голове с протянутой лапшой.