neprihlásený Sobota, 12. októbra 2024, dnes má meniny Maximilián
Experti zistili, čo umožňujú zadné vrátka v populárnom nástroji v Linuxe

Značky: Linuxbezpečnosť

DSL.sk, 2.4.2024


V súčasnosti je už minimálne čiastočne známe ako fungujú a čo umožňujú zadné vrátka v softvéri xz, ktoré sa podarilo útočníkom dostať do oficiálnej verzie tohto softvéru.

Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.

Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.

Škodlivý kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. So zverejnením informácií o jeho odhalení tak zatiaľ neboli k dispozícii informácie kompletnejšie analyzujúce jeho správanie. Vzhľadom na známe informácie bol ale označený za zadné vrátka, keď sa škodlivý kód aktivoval pri použití infikovanej knižnice liblzma v OpenSSH serveri pri prihlasovaní užívateľa.

Podľa informácií Filippa Valsordu zadné vrátka umožňujú útočníkovi spustiť na infikovanom systéme pri pripojení k OpenSSH serveru bez potreby prihlásenia zvolený príkaz. Útočník musí disponovať potrebným privátnym Ed448 kľúčom, keď kód overuje použitie konkrétneho kľúča útočníka k podpisu verejného kľúča serveru.

Či škodlivý kód umožňuje alebo realizuje aj niečo iné nie je zatiaľ jasné, kompletná analýza zatiaľ zrejme zverejnená nebola. Valsorda nerealizuje analýzu škodlivého kódu, jeho informácie podľa neho pochádzajú od ľudí realizujúcich takúto analýzu.

Aj napriek zachyteniu škodlivého kódu predtým ako sa zadné vrátka dostali do niektorej veľmi široko používanej distribúcie ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru.

Dostupné informácie zároveň ukazujú na organizovanú a pomerne dlho pripravovanú aktivitu, keď útočníci zrejme dlhšie realizovali rozličné kroky umožňujúce vložiť škodlivý kód do oficiálnej verzie široko používaného softvéru xz používaného v niektorých distribúciách aj OpenSSH serverom z pozície oficiálneho vývojára softvéru xz a zároveň kroky vedúce k použitiu infikovaných verzií distribúciami. Útočníci zrejme ale robili aj chyby a napríklad škodlivý kód bol odhalený kvôli tomu, že prihlasovanie na OpenSSH server so škodlivým kódom trvalo relatívne výrazne dlhšie.

Ďalšie informácie napríklad vrátane informácií o tom, ktoré distribúcie boli úspešne infikované, sme priniesli v tomto článku.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalší let Starship má byť zajtra, SpaceX sa pokúsi rampou zachytiť prvý stupeň
Nové .sk domény budú opäť dočasne lacnejšie
Trailer poslednej série animovaného Star Trek seriálu
Intel uviedol nové desktopové CPU, výrazne znížili spotrebu v záťaži
Chrome začal vypínať rozšírenia nepodporujúce nové API, aj populárny uBlock Origin
Vydané nové Ubuntu 24.10
O2 mierne zlepšilo pokrytie 5G
Predaje PC poklesli, najmä Macov
Skladateľné smartfóny ovládli čínski výrobcovia, vedie Huawei
Aj Nobelova cena za chémiu udelená za umelú inteligenciu, na predpovedanie tvaru bielkovín


Diskusia:
                               
 

Som extremne pohorseny
Odpovedať Známka: 4.5 Hodnotiť:
 

Samé exkrementy.
Odpovedať Hodnotiť:
 

Len ak si beta tester. Ešteže sa to odhalilo
Odpovedať Hodnotiť:
 

ho dať AI na analýzu, tá ho preskúma!!
/poprípade opraví, aby nerobil zlotu :-)/
Odpovedať Známka: -10.0 Hodnotiť:
 

Teda myslel som opravu, že otvorí predné vrátka!!
Odpovedať Hodnotiť:
 

Je vobec zname, aka krajina alebo skupina za tym moze stat? Vsak vsetko sa publicly commituje niekde, vsetko je ukrutne free a open, ale nie je ziadny naznak odkial dany clovek bol? Ziadne historia, ziadne logy, ziadne IP adresy, nic?
Odpovedať Hodnotiť:
 

Podľa github handle-u a časov, kedy commitoval niektorí odhadujú, že pochádza z TZ GMT+8, samozrejme nedá sa to zaručiť. Inak tie spojitosti s útokom na OpenSSH boli známe už v deň prvého článku na DSL.
Odpovedať Známka: 10.0 Hodnotiť:
 

preco stat rovno? nejaky student to mal ako hobby projekt v poho, ked nemal co robit
Odpovedať Hodnotiť:
 

neboj, coskoro pride povinna digitalna identita a bez nej nenapises ani tento prispevok. Potom uz taketo situacie nebudu.
Odpovedať Známka: 3.3 Hodnotiť:
 

Takze vravis ze sis uz nezfalsuje ani jeden prispevok na dsl? Nebude sa dat vyrobit jediny falosny obciansky? Nieco o cervenej ciapocke nemas?
Odpovedať Známka: 3.3 Hodnotiť:
 

jasne, lebo urcite to bude fungovat tak ze budes scanovat random fake obciansky s ktorym si vytvoris digitalnu identitu. Vobec tam nebude ziadna validacia ci je o tebe nieco v systeme.
Odpovedať Hodnotiť:
 

Za tym moze stat priekazne jedine boh, nakoľko koho boh miluje, toho incidentami navštevuje.
Odpovedať Známka: 0.0 Hodnotiť:
 

Install NixOS
Odpovedať Hodnotiť:

Pridať komentár