neprihlásený Piatok, 13. decembra 2024, dnes má meniny Lucia
Pozor, v softvéri prítomnom v linuxových distribúciách sú zadné vrátka

Značky: Linuxbezpečnosť

DSL.sk, 30.3.2024


V linuxovom ekosystéme prišlo aktuálne k vážnemu bezpečnostnému incidentu, keď sa útočníkom podarilo dostať do viacerých distribúcií škodlivý kód infikovaním softvéru xz používaného prakticky vo všetkých distribúciách.

Incident bol detekovaný skôr ako sa škodlivé verzie stihli dostať do stabilných verzií najväčších distribúcií. Odhalený bol ale kvôli prejavom škodlivého kódu, ktoré sa dajú považovať za chybu útočníkov, a dopady incidentu tak mohli byť oveľa vážnejšie.

Stále ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru.

Na škodlivý kód upozornil včera Andres Freund, ktorý ho identifikoval. Nachádza sa v oficiálnych balíčkoch zdrojových kódov nástroja xz vo verzii 5.6.0 a 5.6.1, verzia 5.6.0 bola vydaná zrejme 24. februára. Pri kompilovaní týchto zdrojových kódov sa pri splnení niektorých podmienok dostane škodlivý kód do výsledného skompilovaného softvéru a takto sa dostal do viacerých distribúcií.

Škodlivý kód je v zdrojových kódoch prítomný v podobe binárneho kódu maskovaného ako testovacie .xz a .lzma súbory. Kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. Zatiaľ zrejme nebola zverejnená analýza čo škodlivý kód presne robí, podľa zistení Freunda a následne informácií distribúcií cieli minimálne na OpenSSH server a aktivuje sa pri prihlasovaní k OpenSSH serveru na počítači s infikovaným xz. Freund tak tento škodlivý kód označil za zadné vrátka, zatiaľ ale nebolo detailne verejne potvrdené či a ako presne umožňuje neautorizovaný prístup na počítače s infikovaným xz cez sshd server.

Freund si všimol problematické správanie, keď pri infikovanom xz prihlasovanie k sshd trvalo výrazne dlhšie, a pri zisťovaní príčiny našiel uvedený škodlivý kód.

xz je open source nástroj pre kompresiu a dekompresiu pomocou kompresného algoritmu LZMA, obsahuje aj knižnicu liblzma používanú mnohými softvérmi. Originálny OpenSSH server ju podľa informácií nevyužíva, distribúcie používajúce systemd majú OpenSSH ale upravovať pre podporu systemd notifikácií, systemd používa liblzma a tým v nich sshd používa aj liblzma.

Keďže zatiaľ nebola zverejnená analýza tohto škodlivého kódu, nie je známe čo presne realizuje a či sa dá zneužiť aj inými spôsobmi ako cez sshd.

Verzie xz so škodlivým kódom sa stihli dostať už do viacerých distribúcií, vzhľadom na ich nedávne vydanie zatiaľ typicky v prípade klasických distribúcií iba do ich testovacích verzií. Mohli sa ale dostať do rolling distribúcií aktualizujúcich použité softvéry priebežne a dostali sa minimálne do populárnej distribúcie Arch Linux a tiež do Fedora Rawhide.

Dostali sa aj do testovacích verzií dvoch významných distribúcií dvoch hlavných vetiev linuxových distribúcií, Fedory a Debianu. Podľa oznámenia Red Hatu sa dostali do spomínanej Fedora Rawhide, vývojovej verzie budúcej verzie Fedory 41 a aktualizáciu na verziu 5.6.0 mohli dostať aj inštalácie Fedory 40, ktorej beta verzia bola vydaná tento týždeň. V prípade Fedory 40 ale výsledné binárne súbory podľa oznámenia Red Hatu zrejme neboli kompromitované, keď sa pri zostavovaní tohto balíčka do nich škodlivý kód nedostal.

V prípade Debianu boli podľa oznámenia kompromitované balíčky vo vývojových verziách testing, unstable a experimental.

V prípade Arch Linuxu boli podľa oznámenia kompromitované verzie dostupné cez aktualizácie a tiež v inštalačnom médiu z 1. marca a v ďalších obrazoch distribúcie. V prípade Arch Linuxu podľa vývojárov ich verzia openssh nepoužíva liblzma a popísaný spôsob útoku nie je v Arch Linuxe možný, iné spôsoby zneužitia ale zatiaľ neboli vylúčené a užívateľom je samozrejme odporúčané odstrániť škodlivý kód z ich systémov.

Tvorcovia distribúcií samozrejme vydávajú alebo už vydali aktualizácie, ktoré sa typicky vracajú k verzii xz 5.4. Red Hat užívateľom Fedora 41 a Fedora Rawhide včera odporúčal zatiaľ okamžite prestať využívať systémy s týmito distribúciami.


      Zdieľaj na Twitteri



Najnovšie články:

Apple má v budúcom roku začať používať aj vlastný WiFi čip
Sonda NASA sa na Vianoce dostane najbližšie k Slnku
K dispozícii beta Linux Mint 22.1
Ďalší významný výrobca končí s Blu-ray prehrávačmi
Google zlepšil v Androide ochranu proti sledovaniu Bluetooth značkami
NASA má vysvetlenie havárie helikoptéry na Marse, naďalej komunikuje
Let’s Encrypt začne budúci rok poskytovať certifikáty platné iba 6 dní
Zákazníci Orangu sa čoskoro nepripoja na TCP port 25, operátor ho začne blokovať
Celoštátne DVB-T uskutočnilo dve zmeny
Uvedený SSD pre PCI Express 5.0 s cenou 100 dolárov


Diskusia:
                               
 

pekne velkonocne vajicko ;)
Odpovedať Známka: 9.1 Hodnotiť:
 

Díky broňa.
Odpovedať Známka: 8.2 Hodnotiť:
 

No, ešteže sa s tým načasovaním zverejnenia trafili tak, aby správci ani používatelia nemuseli nič robiť, nakoľko je riešenie takéhoto zasahovania do demokratických princípov priekazne v kompetencii Štátnej komisie pre voľby a kontrolu financovania politických strán.
Odpovedať Známka: -4.3 Hodnotiť:
 

Uninstall Arch
Odpovedať Známka: 8.5 Hodnotiť:
 

Looool
Odpovedať Známka: 0.0 Hodnotiť:
 

paradoxne i ked arch xz vyuziva tieto vratka neboli expoitovatelne. kazdopadne nova verzia xz vysla a bola nainstalovana: pacman -Syu
Odpovedať Hodnotiť:
 

Preto je dobré kupovať si hatchback. V prípade zablokovania dvier je možné vyliezť cez zadné vrátka.
Odpovedať Známka: 9.0 Hodnotiť:
 

Na toto som nemyslel, mám len dvoje dvere, ale dá sa priekazne vyliezť prekročením dverí pri sklopenej streche
Odpovedať Známka: -3.3 Hodnotiť:
 

z kazdeho auto vylezies zadnymi vratkami
Odpovedať Známka: 0.0 Hodnotiť:
 

vratky sú iba na dph!!
Odpovedať Hodnotiť:
 

zadne vratka zadnych vratok zadnych vratok zadnych vratok zadnych vratok prednych vratok zadnych vratok zadnych vratok
Odpovedať Známka: -7.5 Hodnotiť:
 

Hmmm.. a ako sa tam priekazne asi tak dostali?
Odpovedať Známka: -5.7 Hodnotiť:
 

Hmm, kdepak asi udelalii soudruzi z NDR chybu?
Odpovedať Známka: 0.0 Hodnotiť:
 

Len doplnok, to výrazne dlhšie prihlasovanie tipkovi bolo podozrivé keď to trvalo 0.8s namiesto pôvodných 0.4s.
Odpovedať Známka: 9.3 Hodnotiť:
 

Namiesto 0.3 s
Odpovedať Známka: -3.3 Hodnotiť:
 

"Pozor, v softvéri prítomnom v linuxových distribúciách sú zadné vrátka"
.. a rodičia musia byť zas hrdí našeho zvráteného literáta :D
Odpovedať Známka: -5.0 Hodnotiť:
 

a ak nie oni, tak priekazne my!
Odpovedať Známka: 5.0 Hodnotiť:
 

Píše sa zvráteného liberála. :o)
Odpovedať Známka: 7.8 Hodnotiť:
 

pekny votrelec :) z diskusie na root.cz:

Updating is safe but we don't know what the obfuscated backdoor code did. It might persist even after you upgrade the package itself.
Odpovedať Známka: 3.3 Hodnotiť:
 

Len škoda, že si došiel len po 3 komentár.
Odpovedať Známka: 6.7 Hodnotiť:
 

tak mint je vraj okay, lebo pouzival starsie verzie, ale realne damage je velky, lebo ten typek bol hlavny maintainer xz a prispieval do kopy dalsich open source nastrojov.

spomina sa ze objem toho co prispieval moze ukazovat na skupinu, resp. foreign actor
Odpovedať Známka: -5.0 Hodnotiť:
 

A nesnažil sa ten procesný mess ten prestrašný kyberbetický hacker predtým nahlásiť na nejakom bugtrackeri či mailing liste a neposlal ho admin kamsi dpc, že to patrí inam a aj tak je to blbosť a nech neotravuje? A tak to jednoducho priekazne empiricky predviedol?
Odpovedať Známka: -4.0 Hodnotiť:
 

kocoure, bratricku, zavirej vratka

a kocke stahuj tangace

tato noc nebude kratka
Odpovedať Známka: 4.3 Hodnotiť:
 

z tohto príspevku som začal plakať lubrikačný gel. Dobre bude!
Odpovedať Hodnotiť:
 

arch ako popularna verzia linuxu je oxymoron.
Odpovedať Hodnotiť:
 

Najlepsie na tom bol, ze aj ponahadzovali bugy na stable distra (debian, suse, buntu), aby im na tu verziu upgradli aj v stable. Boli tam nejake povymyslame dovody ze blablabla valgrind a neviem co.
Odpovedať Hodnotiť:
 

a ze lunexy su bezpecne
Odpovedať Známka: 3.3 Hodnotiť:
 

Backdoor v linuxe? Neexistuje
Odpovedať Známka: 3.3 Hodnotiť:
 

Významná česká banka nevhodnou formuláciou straší užívateľov Linuxu o bezpečnosti: https://www.dsl.sk/article.php?article=28209 - tak predsa len to vedeli uz skorej!
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár