Κακόβουλος κώδικας στο XZ Utils για συστήματα Linux

[deniSun]

Ο κακόβουλος κώδικας που έχει εισαχθεί στη βιβλιοθήκη ανοικτού κώδικα XZ Utils, ένα ευρέως χρησιμοποιούμενο πακέτο που υπάρχει σε μεγάλες διανομές Linux, είναι επίσης ικανός να διευκολύνει την απομακρυσμένη εκτέλεση κώδικα, όπως αποκάλυψε μια νέα ανάλυση.

Η τολμηρή παραβίαση της αλυσίδας εφοδιασμού, που εντοπίζεται ως CVE-2024-3094 (CVSS score: 10.0), ήρθε στο φως την περασμένη εβδομάδα, όταν ο μηχανικός της Microsoft και προγραμματιστής της PostgreSQL Andres Freund ειδοποίησε για την παρουσία μιας κερκόπορτας στο βοηθητικό πρόγραμμα συμπίεσης δεδομένων που δίνει στους απομακρυσμένους επιτιθέμενους έναν τρόπο να παρακάμψουν τον ασφαλή έλεγχο ταυτότητας του κελύφους και να αποκτήσουν πλήρη πρόσβαση σε ένα επηρεαζόμενο σύστημα.

Το XZ Utils είναι ένα εργαλείο γραμμής εντολών για τη συμπίεση και αποσυμπίεση δεδομένων στο Linux και σε άλλα λειτουργικά συστήματα τύπου Unix.

Ο κακόβουλος κώδικας λέγεται ότι έχει εισαχθεί σκόπιμα από έναν από τους συντηρητές του έργου με το όνομα Jia Tan (γνωστός και ως Jia Cheong Tan ή JiaT75) σε μια επίπονη επίθεση που φαίνεται να εκτείνεται σε πολλά χρόνια. Ο λογαριασμός χρήστη στο GitHub δημιουργήθηκε το 2021. Η ταυτότητα του δράστη ή των δραστών είναι προς το παρόν άγνωστη.

"Ο δράστης της απειλής άρχισε να συνεισφέρει στο έργο XZ πριν από σχεδόν δύο χρόνια, χτίζοντας σιγά-σιγά την αξιοπιστία του μέχρι που του δόθηκαν αρμοδιότητες συντηρητή", αναφέρει η Akamai σε έκθεσή της.

Σε μια περαιτέρω πράξη έξυπνης κοινωνικής μηχανικής, λογαριασμοί sockpuppet όπως οι Jigar Kumar και Dennis Ens πιστεύεται ότι χρησιμοποιήθηκαν για την αποστολή αιτημάτων χαρακτηριστικών και την αναφορά ποικίλων ζητημάτων στο λογισμικό, προκειμένου να αναγκαστεί ο αρχικός συντηρητής - ο Lasse Collin του Tukaani Project - να προσθέσει έναν νέο συν-συντηρητή στο αποθετήριο.

Ο Jia Tan, ο οποίος εισήγαγε μια σειρά αλλαγών στο XZ Utils το 2023, οι οποίες τελικά έφτασαν στην έκδοση 5.6.0 τον Φεβρουάριο του 2024. Επίσης, φιλοξενούσαν μια εξελιγμένη κερκόπορτα.



"Όπως έχω υπαινιχθεί σε προηγούμενα μηνύματα ηλεκτρονικού ταχυδρομείου, ο Jia Tan μπορεί να έχει μεγαλύτερο ρόλο στο έργο στο μέλλον", δήλωσε ο Collin σε ανταλλαγή μηνυμάτων με τον Kumar τον Ιούνιο του 2022.

"Έχει βοηθήσει πολύ εκτός λίστας και είναι πρακτικά ήδη συν-συντηρητής." :-) Ξέρω ότι δεν έχουν συμβεί ακόμα πολλά στο git repository, αλλά τα πράγματα συμβαίνουν με μικρά βήματα. Σε κάθε περίπτωση κάποια αλλαγή στη συντηρητική ευθύνη είναι ήδη σε εξέλιξη τουλάχιστον για τα XZ Utils".

Η κερκόπορτα επηρεάζει τα tarballs των εκδόσεων XZ Utils 5.6.0 και 5.6.1, η τελευταία εκ των οποίων περιέχει μια βελτιωμένη έκδοση του ίδιου εμφυτεύματος. Ο Collins έχει έκτοτε αναγνωρίσει την παραβίαση του έργου, δηλώνοντας ότι και τα δύο tarballs δημιουργήθηκαν και υπογράφηκαν από τον Jia Tan και ότι είχε πρόσβαση μόνο στο πλέον απενεργοποιημένο αποθετήριο GitHub.

"Πρόκειται ξεκάθαρα για μια πολύ σύνθετη κρατική επιχείρηση με εντυπωσιακή πολυπλοκότητα και πολυετή σχεδιασμό", δήλωσε η εταιρεία ασφάλειας firmware Binarly. "Ένα τόσο πολύπλοκο και επαγγελματικά σχεδιασμένο ολοκληρωμένο πλαίσιο εμφύτευσης δεν αναπτύσσεται για μια επιχείρηση της μιας φοράς".

Μια βαθύτερη εξέταση της κερκόπορτας από τον κρυπτογράφο ανοιχτού κώδικα Filippo Valsorda αποκάλυψε επίσης ότι οι επηρεαζόμενες εκδόσεις επιτρέπουν σε συγκεκριμένους απομακρυσμένους επιτιθέμενους να στέλνουν αυθαίρετα ωφέλιμα φορτία μέσω ενός πιστοποιητικού SSH, τα οποία θα εκτελούνται με τρόπο που παρακάμπτει τα πρωτόκολλα ελέγχου ταυτότητας, καταλαμβάνοντας ουσιαστικά τον έλεγχο του μηχανήματος του θύματος.

"Φαίνεται ότι η κερκόπορτα προστίθεται στο demon SSH στο ευάλωτο μηχάνημα, επιτρέποντας σε έναν απομακρυσμένο επιτιθέμενο να εκτελέσει αυθαίρετο κώδικα", δήλωσε η Akamai. "Αυτό σημαίνει ότι οποιοδήποτε μηχάνημα με το ευάλωτο πακέτο που εκθέτει το SSH στο διαδίκτυο είναι δυνητικά ευάλωτο".

Με άλλα λόγια, η κερκόπορτα επιτρέπει σε έναν απομακρυσμένο εισβολέα με ένα προκαθορισμένο ιδιωτικό κλειδί να καταλάβει τον demon SSH για να εκτελέσει κακόβουλες εντολές.

Περιττό να πούμε ότι η τυχαία ανακάλυψη από τον Freund είναι μία από τις σημαντικότερες επιθέσεις στην αλυσίδα εφοδιασμού που έχουν ανακαλυφθεί μέχρι σήμερα και θα μπορούσε να αποτελέσει σοβαρή καταστροφή για την ασφάλεια αν το πακέτο είχε ενσωματωθεί σε σταθερές εκδόσεις διανομών Linux.

"Το πιο αξιοσημείωτο μέρος αυτής της επίθεσης στην αλυσίδα εφοδιασμού είναι τα ακραία επίπεδα αφοσίωσης του επιτιθέμενου, ο οποίος εργάστηκε πάνω από δύο χρόνια για να καθιερωθεί ως νόμιμος συντηρητής, προσφέροντας να πάρει δουλειά σε διάφορα έργα OSS και δεσμεύοντας κώδικα σε πολλά έργα προκειμένου να αποφύγει τον εντοπισμό", δήλωσε ο JFrog.

Όπως και στην περίπτωση του Apache Log4j, το περιστατικό αναδεικνύει για άλλη μια φορά την εξάρτηση από το λογισμικό ανοικτού κώδικα και τα έργα που εκτελούνται από εθελοντές, καθώς και τις συνέπειες που θα μπορούσαν να επιφέρουν σε περίπτωση που αυτά υποστούν παραβίαση ή έχουν μια σημαντική ευπάθεια.

"Η μεγαλύτερη "λύση" είναι να υιοθετήσουν οι οργανισμοί εργαλεία και διαδικασίες που θα τους επιτρέπουν να εντοπίζουν σημάδια παραποίησης και κακόβουλων χαρακτηριστικών τόσο στον κώδικα ανοικτού κώδικα όσο και στον εμπορικό κώδικα που χρησιμοποιείται στη δική τους αναπτυξιακή γραμμή", δήλωσε η ReversingLabs.



πηγή via DeepL

[Tsene]

[deniSun]

Can someone confirm if MikroTik devices are vulnerable to the current SSH backdoor?
See here.

Althought the malware scans for .rpm or .deb packages in general it would be a good to know if MikroTiks SSH server relys on liblzma or not.

MikroTik software does not contain any of the vulnerable versions, but we are still doing a full audit and if anything changes, we will let everyone know.
Edit: this vulnerability has several other dependencies that would make it impossible to affect RouterOS, even if RouterOS did include the vulnerable xz version. So 100% not affected.

https://forum.mikrotik.com/viewtopic...1b6943e8a059d6

[deniSun]

XZ Utils Backdoor Attack Brings Another Similar Incident to Light