xz-aanval: achterdeur onthuld, meer details over getroffen distributies

xz-aanval: achterdeur onthuld, meer details over getroffen distributies

Nadat er een achterdeur was ontdekt in de xz-tools, opgenomen in verschillende open source-platforms, werden vandaag, Stille Zaterdag, aanvullende details bekend. Een achterdeur biedt aanvallers de mogelijkheid om hun eigen code uit te voeren op doelsystemen, die ze voorheen slim verborgen hadden gehouden. Het schrijven van een netwerkscanner om de achterdeur te detecteren lijkt op dit moment niet haalbaar.

advertentie

In een Een onderwerp voor discussie op het sociale mediaplatform BlueSky Beveiligingsexpert en cryptografie-expert Filippo Valsorda analyseert de achterdeur. Deze is opmerkelijk innovatief ontworpen en gebruikt een RSA-sleutel als transmissiemedium voor kwaadaardige code. Wanneer er een nieuwe SSH-verbinding tot stand wordt gebracht met een server waarop xz-bibliotheken zijn geïnfecteerd met de Trojan, wordt deze tijdens de sleuteluitwisseling verzonden, gecontroleerd op plausibiliteit en uiteindelijk gedecodeerd en uitgevoerd.

Dit betekent dat hoewel aanvallers code kunnen uitvoeren zonder toegang te krijgen tot gegevens, beveiligingsexperts waarschijnlijk geen netwerkscanner kunnen schrijven zoals ze dat voor andere kwetsbaarheden doen. Ze missen eenvoudigweg basismateriaal van achterdeurauteurs: zodra een achterdeur een ongeldige handtekening detecteert, stopt deze met werken en gaat hij door met het uitvoeren van reguliere OpenSSH-code. Er kan dus alleen achterdeurtjes worden gecontroleerd Doe het lokaal. Ook één Yara's heerschappij Handtekening op de achterklep is nu beschikbaar.

De aanval lijkt van tevoren gepland. Aanvaller Jia Tan creëerde zijn Github-account in 2021 en begon zich in 2022 op het xz-project te concentreren. Met de hulp van verschillende handlangers of nep-accounts die psychologische druk uitoefenden op de hoofdontwikkelaar, nam hij niet alleen de controle over het project over, maar zette hij ook Linux onder druk. distributies om versies over te nemen. De pakketten plaatste hij zo snel mogelijk terug in hun systemen. Zo is het ook met de Fedora-auteur voet Hij wilde hen overtuigen om xz 5.6.x op te nemen in de op rpm gebaseerde distributie vanwege de “coole nieuwe functies”.

Ondertussen vertrok een partner met de alias “Hans Janssen”. Handvatten opschonen in het Debian-project Verzoek om het pakket bij te werken. Zijn excuus: de nieuwe versie lost een probleem op in de Valgrind-programmeertoolbox – die alleen verscheen toen de achterdeur werd geïnstalleerd. In de commentaren prezen pseudoniemen als “krygorin4545” en “misoeater91” de vermeende bugfix en zogenaamd nep-accounts om de stemming te verlichten. Het Debian-project besloot de backdoored xz-versie op te nemen in de onstabiele “Sid”-uitgave.

Hij is er sinds donderdagavond Bijgewerkte pakketten voor OpenSUSE “Tumbleweed” – Deze rollende release van OpenSUSE zonder stabiele releases bevat ook een punched xz-pakket. De achterdeur heeft de stabiele Debian- of Ubuntu-releases niet gehaald, maar wel de Debian “test” en “unstable”. We hebben in ons eerste rapport al andere getroffen Linux-varianten genoemd.

Aan de andere kant wordt de macOS Homebrew-pakketbeheerder niet direct beïnvloed. Hoewel Homebrew een backdoor-versie van liblzma bevat, wordt de backdoor alleen ingeschakeld in deb- en rpm-gebaseerde distributies als onderdeel van het pakketbouwproces, schreef een ontwikkelaar. Op GitHub.

Bovendien moet liblzma door OpenSSH worden geladen, ook al gebruikt dit programma de bibliotheek niet daadwerkelijk. Het is echter nog steeds mogelijk dat een backdoor via indirecte afhankelijkheden in OpenSSH terechtkomt. Bijvoorbeeld Veel distributies patchen OpenSSHOm het systemd-notify te laten ondersteunen. De systemd-bibliotheek libsystemd maakt op zijn beurt gebruik van liblzma, waardoor kwaadaardige code via deze indirecte richting wordt geladen.

Om de achterdeur te kunnen implementeren, moet naast de juiste handtekening ook aan andere basiseisen worden voldaan:

  1. De TERM-omgevingsvariabele (meestal een identificatie voor een interactieve terminalsessie) mag niet worden ingesteld.
  2. Het doelproces moet /usr/sbin/sshd heten,
  3. Omgevingsvariabelen LD_DEBUG of LD_PROFILE zijn niet ingesteld,
  4. De taal wordt opgegeven met behulp van de LANG-omgevingsvariabele
  5. Er wordt geen foutopsporingssessie uitgevoerd met rr of gdb.

Als aan een van de voorwaarden niet wordt voldaan, weigert de achterdeur te werken.

Ondertussen was er op de mailinglijst van oss-security (waarvan de ontdekker de achterdeur blootlegde) een levendige discussie tussen hooggeplaatste beveiligingsexperts over de voor- en nadelen van het verbieden van kwetsbaarheden. Terwijl Mark Deslauriers van Canonical het gebruikelijke communicatieverbod op 0days verdedigde, sprak Tavis Ormandy van Google zich uit voor radicale openheid: toen Deslauriers enigszins provocerend vroeg of hij voorstander was van het onmiddellijk publiceren van kwetsbaarheden in Chrome, schreef Ormandy: “Ja! Als iemand kennis heeft over elk Software met achterdeurtjes of [..] Als je een actieve zero-day-kwetsbaarheid hebt, moedig ik je aan om deze kennis alsjeblieft te verspreiden.”

De ontdekker, een vriend van Andre, verklaarde dat hij het complot alleen ontdekte vanwege “een reeks toevalligheden”: hij merkte enkele SSH-operaties op met een verrassend hoog verbruik van hulpbronnen, herinnerde zich de vermeende bug van Valgrind en zette er twee en twee bij elkaar.

xz-projectmanager Lasse Collin heeft nu ook online een gedwongen pauze genomen Gerapporteerd om te spreken. De ontwikkelaar trok enkele wijzigingen in die Jia Tan in de infrastructuur van het project had aangebracht en verduidelijkte dat alleen hij toegang had tot de projectgegevens onder het domein 'tukaani.org'. De kwaadwillende Tan nam de controle over het project verder over door de Git-repository's naar Github te verplaatsen. Het project en de Github-accounts van ontwikkelaars Tan en Colin zijn momenteel opgeschort.

De roep om meer steun voor open source-projecten klinkt nu luider. Python-netwerkbibliotheekontwikkelaar Twisted schreef op Mastodon dat hij echt hoopt de gebruikelijke praktijk te vermijden om “zijn hele verdomde product op de schouders te leggen van een uitgeput persoon die langzaamaan een zenuwinzinking krijgt zonder hem op enigerlei wijze financieel of financieel te ondersteunen.” Structureel.” zal nu in de hele sector worden getest.

Het is nog steeds onzeker wie Hans Janssen, Jia Tan en hun medewerkers zijn. Volgens sommige deskundigen geven de verfijning en verfijning van de aanval aan dat het een staatsgerichte aanval was. Details zijn echter nog onduidelijk en de zoektocht naar de daders is begonnen.


(Kaku)

Naar de startpagina

READ  MacBook Pro gesloten vanwege ventilatorsnelheid met waterkoeling

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *