Matrix - l'organisation derrière un projet open source offrant un protocole pour une communication sécurisée et décentralisée en temps réel - a été victime d'une cyberattaque massive après que des pirates inconnus aient eu accès aux serveurs hébergeant son site Web officiel et ses données.
Les pirates ont altéré le site Web de Matrix et volé des messages privés non chiffrés, des hash de mots de passe, des jetons d'accès, ainsi que des clés GPG utilisées par les responsables de projet pour signer les packages.
La cyberattaque a finalement obligé l’organisation à arrêter toute son infrastructure de production pendant plusieurs heures et à déconnecter tous les utilisateurs de Matrix.org.
Si vous avez un compte sur Matrix.org et n'avez pas de sauvegarde de vos clés de chiffrement ou pas de sauvegarde de clé côté serveur, vous ne pourrez malheureusement pas lire l'intégralité de l'historique de vos conversations chiffrées.
Matrix est un protocole de messagerie chiffré de bout en bout et open source qui permet à quiconque d’auto-héberger un service de messagerie sur ses propres serveurs, en alimentant de nombreuses messageries instantanées, VoIP, WebRTC, bots et communications IoT.
Un Jenkins vulnérable a permis aux attaquants d'accéder au serveur
Selon un communiqué de presse publié aujourd'hui par Matrix Project, des attaquants inconnus ont exploité une vulnérabilité de contournement du sandbox dans son infrastructure de production le 4 avril, qui s'exécutait sur une version obsolète et vulnérable du serveur d'automatisation Jenkins.
La faille Jenkins permettait aux attaquants de voler des clés SSH internes, qui leur permettaient d’accéder à l’infrastructure de production de Matrix, en leur accordant éventuellement l’accès à du contenu non chiffré, notamment des messages personnels, des hash de mots de passe et des jetons d’accès.
Après avoir été informé de la vulnérabilité par JaikeySarraf le 9 avril, Matrix.org a identifié toute l'étendue de l'attaque et a supprimé le serveur vulnérable Jenkins. Il a également révoqué l'accès de l'attaquant à ses serveurs le 10 avril.
Le lendemain, Matrix.org a également démonté son serveur domestique et a commencé à reconstruire son infrastructure de production à partir de zéro, qui est maintenant de nouveau en ligne.
Le 12 avril, vers 5 heures du matin, les attaquants responsables de la cyber-attaque ont également réussi à relier les DNS de matrix.org à un site Web de remplacement hébergé sur GitHub, à l'aide d'une clé API Cloudflare, compromise lors de l'attaque et remplacée théoriquement lors de la reconstruction.
Depuis la Défacement confirmant que les hash de mots de passe chiffrés volés ont été exfiltrés de la base de données de production, Matrix.org a été obligé de déconnecter tous les utilisateurs et leur a vivement conseillé de modifier immédiatement leur mot de passe.
"Ce fut un choix difficile à faire. Nous avons évalué le risque que certains utilisateurs perdent l'accès aux messages chiffrés par rapport au risque que les comptes de tous les utilisateurs soient vulnérables au détournement via les jetons d'accès compromis ",
"Nous espérons que vous comprendrez pourquoi nous avons pris la décision de donner la priorité à l'intégrité du compte plutôt qu'à l'accès aux messages chiffrés, mais nous sommes désolés pour le désagrément que cela a pu causer."
La société confirme également que les clés GPG utilisées pour la signature des packages ont également été compromises, mais heureusement, les attaquants ne l’ont pas utilisé pour publier des versions malveillantes du logiciel signé avec les clés volées.
Le projet Matrix garantit que les deux clés ont maintenant été révoquées.
Les responsables du projet ont également annoncé qu'ils enverraient prochainement un courrier électronique à tous les utilisateurs concernés pour les informer de l'incident et leur conseiller de modifier leur mot de passe.
Source : https://thehackernews.com/2019/04/en...berattack.html