neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
Experti zistili, čo umožňujú zadné vrátka v populárnom nástroji v Linuxe

Značky: Linuxbezpečnosť

DSL.sk, 2.4.2024


V súčasnosti je už minimálne čiastočne známe ako fungujú a čo umožňujú zadné vrátka v softvéri xz, ktoré sa podarilo útočníkom dostať do oficiálnej verzie tohto softvéru.

Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.

Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.

Škodlivý kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. So zverejnením informácií o jeho odhalení tak zatiaľ neboli k dispozícii informácie kompletnejšie analyzujúce jeho správanie. Vzhľadom na známe informácie bol ale označený za zadné vrátka, keď sa škodlivý kód aktivoval pri použití infikovanej knižnice liblzma v OpenSSH serveri pri prihlasovaní užívateľa.

Podľa informácií Filippa Valsordu zadné vrátka umožňujú útočníkovi spustiť na infikovanom systéme pri pripojení k OpenSSH serveru bez potreby prihlásenia zvolený príkaz. Útočník musí disponovať potrebným privátnym Ed448 kľúčom, keď kód overuje použitie konkrétneho kľúča útočníka k podpisu verejného kľúča serveru.

Či škodlivý kód umožňuje alebo realizuje aj niečo iné nie je zatiaľ jasné, kompletná analýza zatiaľ zrejme zverejnená nebola. Valsorda nerealizuje analýzu škodlivého kódu, jeho informácie podľa neho pochádzajú od ľudí realizujúcich takúto analýzu.

Aj napriek zachyteniu škodlivého kódu predtým ako sa zadné vrátka dostali do niektorej veľmi široko používanej distribúcie ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru.

Dostupné informácie zároveň ukazujú na organizovanú a pomerne dlho pripravovanú aktivitu, keď útočníci zrejme dlhšie realizovali rozličné kroky umožňujúce vložiť škodlivý kód do oficiálnej verzie široko používaného softvéru xz používaného v niektorých distribúciách aj OpenSSH serverom z pozície oficiálneho vývojára softvéru xz a zároveň kroky vedúce k použitiu infikovaných verzií distribúciami. Útočníci zrejme ale robili aj chyby a napríklad škodlivý kód bol odhalený kvôli tomu, že prihlasovanie na OpenSSH server so škodlivým kódom trvalo relatívne výrazne dlhšie.

Ďalšie informácie napríklad vrátane informácií o tom, ktoré distribúcie boli úspešne infikované, sme priniesli v tomto článku.


      Zdieľaj na Twitteri



Najnovšie články:

Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky


Diskusia:
                               
 

Som extremne pohorseny
Odpovedať Známka: 4.5 Hodnotiť:
 

Samé exkrementy.
Odpovedať Hodnotiť:
 

Len ak si beta tester. Ešteže sa to odhalilo
Odpovedať Hodnotiť:
 

ho dať AI na analýzu, tá ho preskúma!!
/poprípade opraví, aby nerobil zlotu :-)/
Odpovedať Známka: -10.0 Hodnotiť:
 

Teda myslel som opravu, že otvorí predné vrátka!!
Odpovedať Hodnotiť:
 

Je vobec zname, aka krajina alebo skupina za tym moze stat? Vsak vsetko sa publicly commituje niekde, vsetko je ukrutne free a open, ale nie je ziadny naznak odkial dany clovek bol? Ziadne historia, ziadne logy, ziadne IP adresy, nic?
Odpovedať Hodnotiť:
 

Podľa github handle-u a časov, kedy commitoval niektorí odhadujú, že pochádza z TZ GMT+8, samozrejme nedá sa to zaručiť. Inak tie spojitosti s útokom na OpenSSH boli známe už v deň prvého článku na DSL.
Odpovedať Známka: 10.0 Hodnotiť:
 

preco stat rovno? nejaky student to mal ako hobby projekt v poho, ked nemal co robit
Odpovedať Hodnotiť:
 

neboj, coskoro pride povinna digitalna identita a bez nej nenapises ani tento prispevok. Potom uz taketo situacie nebudu.
Odpovedať Známka: 3.3 Hodnotiť:
 

Takze vravis ze sis uz nezfalsuje ani jeden prispevok na dsl? Nebude sa dat vyrobit jediny falosny obciansky? Nieco o cervenej ciapocke nemas?
Odpovedať Známka: 3.3 Hodnotiť:
 

jasne, lebo urcite to bude fungovat tak ze budes scanovat random fake obciansky s ktorym si vytvoris digitalnu identitu. Vobec tam nebude ziadna validacia ci je o tebe nieco v systeme.
Odpovedať Hodnotiť:
 

Za tym moze stat priekazne jedine boh, nakoľko koho boh miluje, toho incidentami navštevuje.
Odpovedať Známka: 0.0 Hodnotiť:
 

Install NixOS
Odpovedať Hodnotiť:

Pridať komentár