Злоумышленники атаковали Matrix.org

Атака стала возможной благодаря уязвимостям в устаревшей версии Jenkins.

Некоммерческая организация Matrix.org стала жертвой кибератаки, вынудившей ее перестроить всю производственную инфраструктуру и уведомить пользователей об утечке данных. Matrix.org является разработчиком открытого стандарта коммуникации в режиме реального времени по IP для обмена текстовыми сообщениями и файлами, а также для осуществления голосовых и видео-звонков. В списке использующих стандарт платформ числятся Riot, WeeChat, Nheko, Quaternion и пр.

В четверг, 11 апреля, представители организации сообщили, что неизвестным злоумышленникам удалось получить доступ к ее серверам. Преступники получили доступ к производственной базе данных, с помощью которой они потенциально могли похитить незашифрованные данные сообщений, хеши паролей и токены авторизации.

Из-за кибератаки Matrix.org в течение нескольких часов не могла восстановить работу и была вынуждена поднимать производственную инфраструктуру с нуля. Инцидент затронул сайты, базы данных, медиа-репозитории и т.д., однако серверы Modular.im, исходные коды и пакеты в результате атаки не пострадали.

Кибератака стала возможной благодаря уязвимостям в производственной инфраструктуре, а именно – в устаревшей версии сервера Jenkins. С помощью уязвимостей CVE-2019-1003000, CVE-2019-1003001 и CVE-2019-1003002 злоумышленники похитили внутренние SSH-ключи и с их помощью получили доступ к производственной инфраструктуре.

Исследователь безопасности JaikeySarraf уведомил Matrix.org об уязвимостях 9 апреля. На следующий день специалисты организации локализовали их и определили полный масштаб атаки. 10 апреля проблемный сервер Jenkins был удален, и злоумышленники лишились доступа к инфраструктуре. Через 24 часа Matrix.org отключила свой главный сервер и начала перестраивать инфраструктуру заново. Все пользователи Matrix.org были «выброшены» из своих учетных записей, и организация попросила их сменить пароли.