neprihlásený
|
Utorok, 3. decembra 2024, dnes má meniny Oldrich |
|
Experti zistili, čo umožňujú zadné vrátka v populárnom nástroji v Linuxe
Značky:
Linuxbezpečnosť
DSL.sk, 2.4.2024
|
|
V súčasnosti je už minimálne čiastočne známe ako fungujú a čo umožňujú zadné vrátka v softvéri xz, ktoré sa podarilo útočníkom dostať do oficiálnej verzie tohto softvéru.
Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.
Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.
Škodlivý kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. So zverejnením informácií o jeho odhalení tak zatiaľ neboli k dispozícii informácie kompletnejšie analyzujúce jeho správanie. Vzhľadom na známe informácie bol ale označený za zadné vrátka, keď sa škodlivý kód aktivoval pri použití infikovanej knižnice liblzma v OpenSSH serveri pri prihlasovaní užívateľa.
Podľa informácií Filippa Valsordu zadné vrátka umožňujú útočníkovi spustiť na infikovanom systéme pri pripojení k OpenSSH serveru bez potreby prihlásenia zvolený príkaz. Útočník musí disponovať potrebným privátnym Ed448 kľúčom, keď kód overuje použitie konkrétneho kľúča útočníka k podpisu verejného kľúča serveru.
Či škodlivý kód umožňuje alebo realizuje aj niečo iné nie je zatiaľ jasné, kompletná analýza zatiaľ zrejme zverejnená nebola. Valsorda nerealizuje analýzu škodlivého kódu, jeho informácie podľa neho pochádzajú od ľudí realizujúcich takúto analýzu.
Aj napriek zachyteniu škodlivého kódu predtým ako sa zadné vrátka dostali do niektorej veľmi široko používanej distribúcie ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru.
Dostupné informácie zároveň ukazujú na organizovanú a pomerne dlho pripravovanú aktivitu, keď útočníci zrejme dlhšie realizovali rozličné kroky umožňujúce vložiť škodlivý kód do oficiálnej verzie široko používaného softvéru xz používaného v niektorých distribúciách aj OpenSSH serverom z pozície oficiálneho vývojára softvéru xz a zároveň kroky vedúce k použitiu infikovaných verzií distribúciami. Útočníci zrejme ale robili aj chyby a napríklad škodlivý kód bol odhalený kvôli tomu, že prihlasovanie na OpenSSH server so škodlivým kódom trvalo relatívne výrazne dlhšie.
Ďalšie informácie napríklad vrátane informácií o tom, ktoré distribúcie boli úspešne infikované, sme priniesli v tomto článku.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
som som
Od: humusko
|
Pridané:
2.4.2024 15:23
Som extremne pohorseny
|
|
Re: som som
Od: Dežoježo
|
Pridané:
2.4.2024 15:58
Samé exkrementy.
|
|
Re: som som
Od: monopol
|
Pridané:
2.4.2024 16:13
Len ak si beta tester. Ešteže sa to odhalilo
|
|
treba
Od: ffdf
|
Pridané:
2.4.2024 19:34
ho dať AI na analýzu, tá ho preskúma!!
/poprípade opraví, aby nerobil zlotu :-)/
|
|
Re: treba
Od: ffdf
|
Pridané:
2.4.2024 19:38
Teda myslel som opravu, že otvorí predné vrátka!!
|
|
Who dis?
Od: Fierol
|
Pridané:
2.4.2024 20:58
Je vobec zname, aka krajina alebo skupina za tym moze stat? Vsak vsetko sa publicly commituje niekde, vsetko je ukrutne free a open, ale nie je ziadny naznak odkial dany clovek bol? Ziadne historia, ziadne logy, ziadne IP adresy, nic?
|
|
Re: Who dis?
Od: .em
|
Pridané:
2.4.2024 21:44
Podľa github handle-u a časov, kedy commitoval niektorí odhadujú, že pochádza z TZ GMT+8, samozrejme nedá sa to zaručiť. Inak tie spojitosti s útokom na OpenSSH boli známe už v deň prvého článku na DSL.
|
|
Re: Who dis?
Od: asdasdasdhhhhh
|
Pridané:
2.4.2024 22:30
preco stat rovno? nejaky student to mal ako hobby projekt v poho, ked nemal co robit
|
|
Re: Who dis?
Od: digitalny strasiak
|
Pridané:
2.4.2024 22:34
neboj, coskoro pride povinna digitalna identita a bez nej nenapises ani tento prispevok. Potom uz taketo situacie nebudu.
|
|
Re: Who dis?
Od reg.: MackoPu1
|
Pridané:
3.4.2024 7:27
Takze vravis ze sis uz nezfalsuje ani jeden prispevok na dsl? Nebude sa dat vyrobit jediny falosny obciansky? Nieco o cervenej ciapocke nemas?
|
|
Re: Who dis?
Od: digitalny strasiak
|
Pridané:
3.4.2024 12:56
jasne, lebo urcite to bude fungovat tak ze budes scanovat random fake obciansky s ktorym si vytvoris digitalnu identitu. Vobec tam nebude ziadna validacia ci je o tebe nieco v systeme.
|
|
ultraradikálny špecifikácionalizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
3.4.2024 7:52
Za tym moze stat priekazne jedine boh, nakoľko koho boh miluje, toho incidentami navštevuje.
|
|
;';'';''''';';;;;';'
Od: arch_bastard
|
Pridané:
4.4.2024 9:55
Install NixOS
|
Pridať komentár
|
|
|
|