neprihlásený Štvrtok, 7. novembra 2024, dnes má meniny René
Experti zistili, čo umožňujú zadné vrátka v populárnom nástroji v Linuxe

Značky: Linuxbezpečnosť

DSL.sk, 2.4.2024


V súčasnosti je už minimálne čiastočne známe ako fungujú a čo umožňujú zadné vrátka v softvéri xz, ktoré sa podarilo útočníkom dostať do oficiálnej verzie tohto softvéru.

Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.

Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.

Škodlivý kód je tzv. obfuskovaný, teda výrazne znečitateľný rozličnými metódami. So zverejnením informácií o jeho odhalení tak zatiaľ neboli k dispozícii informácie kompletnejšie analyzujúce jeho správanie. Vzhľadom na známe informácie bol ale označený za zadné vrátka, keď sa škodlivý kód aktivoval pri použití infikovanej knižnice liblzma v OpenSSH serveri pri prihlasovaní užívateľa.

Podľa informácií Filippa Valsordu zadné vrátka umožňujú útočníkovi spustiť na infikovanom systéme pri pripojení k OpenSSH serveru bez potreby prihlásenia zvolený príkaz. Útočník musí disponovať potrebným privátnym Ed448 kľúčom, keď kód overuje použitie konkrétneho kľúča útočníka k podpisu verejného kľúča serveru.

Či škodlivý kód umožňuje alebo realizuje aj niečo iné nie je zatiaľ jasné, kompletná analýza zatiaľ zrejme zverejnená nebola. Valsorda nerealizuje analýzu škodlivého kódu, jeho informácie podľa neho pochádzajú od ľudí realizujúcich takúto analýzu.

Aj napriek zachyteniu škodlivého kódu predtým ako sa zadné vrátka dostali do niektorej veľmi široko používanej distribúcie ide zrejme o najväčší známy incident podobného typu za dlhú dobu, keď v poslednom období zrejme neprišlo k incidentu takéhoto rozsahu týkajúceho sa tak široko používaného softvéru.

Dostupné informácie zároveň ukazujú na organizovanú a pomerne dlho pripravovanú aktivitu, keď útočníci zrejme dlhšie realizovali rozličné kroky umožňujúce vložiť škodlivý kód do oficiálnej verzie široko používaného softvéru xz používaného v niektorých distribúciách aj OpenSSH serverom z pozície oficiálneho vývojára softvéru xz a zároveň kroky vedúce k použitiu infikovaných verzií distribúciami. Útočníci zrejme ale robili aj chyby a napríklad škodlivý kód bol odhalený kvôli tomu, že prihlasovanie na OpenSSH server so škodlivým kódom trvalo relatívne výrazne dlhšie.

Ďalšie informácie napríklad vrátane informácií o tom, ktoré distribúcie boli úspešne infikované, sme priniesli v tomto článku.


      Zdieľaj na Twitteri



Najnovšie články:

Dopyt po flash pamäti sa podľa významného výrobcu za pár rokov strojnásobí
EÚ vyšetruje výrobcu skla Gorilla kvôli možnému zneužitiu dominantného postavenia
Nvidia sa znovu stala najhodnotnejšou spoločnosťou sveta
Orange začal poskytovať pripojenie cez sieť popri vedeniach distribútora elektriny
Apple investuje do prevádzkovateľa satelitnej konštelácie využívanej iPhonmi
Enkóder AV1 videa SVT-AV1 na ARM výrazne zrýchlil
Japonci vyniesli do vesmíru prvý satelit z dreva
O2 dá zákazníkom na mesiac tzv. nekonečné dáta
Telekom má pre predplatenky akciový balíček neobmedzených dát
V FFmpeg zlepšená podpora hardvérovej akcelerácie H.266


Diskusia:
                               
 

Som extremne pohorseny
Odpovedať Známka: 4.5 Hodnotiť:
 

Samé exkrementy.
Odpovedať Hodnotiť:
 

Len ak si beta tester. Ešteže sa to odhalilo
Odpovedať Hodnotiť:
 

ho dať AI na analýzu, tá ho preskúma!!
/poprípade opraví, aby nerobil zlotu :-)/
Odpovedať Známka: -10.0 Hodnotiť:
 

Teda myslel som opravu, že otvorí predné vrátka!!
Odpovedať Hodnotiť:
 

Je vobec zname, aka krajina alebo skupina za tym moze stat? Vsak vsetko sa publicly commituje niekde, vsetko je ukrutne free a open, ale nie je ziadny naznak odkial dany clovek bol? Ziadne historia, ziadne logy, ziadne IP adresy, nic?
Odpovedať Hodnotiť:
 

Podľa github handle-u a časov, kedy commitoval niektorí odhadujú, že pochádza z TZ GMT+8, samozrejme nedá sa to zaručiť. Inak tie spojitosti s útokom na OpenSSH boli známe už v deň prvého článku na DSL.
Odpovedať Známka: 10.0 Hodnotiť:
 

preco stat rovno? nejaky student to mal ako hobby projekt v poho, ked nemal co robit
Odpovedať Hodnotiť:
 

neboj, coskoro pride povinna digitalna identita a bez nej nenapises ani tento prispevok. Potom uz taketo situacie nebudu.
Odpovedať Známka: 3.3 Hodnotiť:
 

Takze vravis ze sis uz nezfalsuje ani jeden prispevok na dsl? Nebude sa dat vyrobit jediny falosny obciansky? Nieco o cervenej ciapocke nemas?
Odpovedať Známka: 3.3 Hodnotiť:
 

jasne, lebo urcite to bude fungovat tak ze budes scanovat random fake obciansky s ktorym si vytvoris digitalnu identitu. Vobec tam nebude ziadna validacia ci je o tebe nieco v systeme.
Odpovedať Hodnotiť:
 

Za tym moze stat priekazne jedine boh, nakoľko koho boh miluje, toho incidentami navštevuje.
Odpovedať Známka: 0.0 Hodnotiť:
 

Install NixOS
Odpovedať Hodnotiť:

Pridať komentár