Jump to content

XZ Utils backdoor: Dallime mes rishikimesh

Nga Wikipedia, enciklopedia e lirë
Ndryshimi më pas →
Content deleted Content added
PamorTekst wiki
Krijuar nga përkthimi i faqes "XZ Utils backdoor"
(Pa ndryshime)

Versioni i datës 16 dhjetor 2024 19:35


Në shkurt 2024, një derë e pasme me qëllim të keq u prezantua në ndërtimin e Linux të programit xz brenda bibliotekës liblzma në versionet 5.6.0 dhe 5.6.1 nga një llogari me emrin "Jia Tan". [a] [1] Backdoor i jep një sulmuesi që posedon një çelës privat të veçantë Ed448 aftësitë e ekzekutimit të kodit në distancë në sistemin e prekur Linux. Çështjes i është dhënë numri i Përbashkët i Dobësive dhe Ekspozimeve CVE-2024-3094 dhe i eshte dhene nje note te CVSS prej 10.0, nota me e larte e mundeshme.

Ndërsa xz është zakonisht i pranishëm në shumicën e shpërndarjeve Linux, në kohën e zbulimit versioni me dyer të pasme nuk ishte vendosur ende gjerësisht në sistemet e prodhimit, por ishte i pranishëm në versionet e zhvillimit të shpërndarjeve kryesore. [2] Dera e pasme u zbulua nga zhvilluesi i softuerit Andres Freund, i cili njoftoi gjetjet e tij më 29 mars 2024. [3]

Prapavija

Punonjësi i Microsoft dhe zhvilluesi i PostgreSQL, Andres Freund, raportoje prapavijën pas hetimit të një regresioni të performancës në Debian Sid . [4] Freund vuri re se lidhjet SSH po gjeneronin një sasi të papritur të lartë të përdorimit të CPU-së si dhe po shkaktonin gabime në Valgrind, [5] një mjet për korrigjimin e memories. [6] Freund raportoi gjetjen e tij në listën e postimeve të sigurisë me burim të hapur të Openwall Project, [5] e cila e solli atë në vëmendjen e shitësve të ndryshëm të programeve kompjuterike. [6] Sulmuesi bëri përpjekje për të errësuar kodin, [7] pasi dera e pasme përbëhet nga faza të shumta që veprojnë së bashku. [8]

Pasi versioni i komprometuar të përfshihet në sistemin operativ, ai ndryshon sjelljen e serverit SSH të OpenSSH duke abuzuar me bibliotekën systemd, duke i lejuar sulmuesit të fitojë akses administratori. [8] [6] Sipas analizës nga Red Hat, porta e pasme mund të "mundësojë një aktor keqdashës të thyejë vërtetimin sshd dhe të fitojë akses të paautorizuar në të gjithë sistemin nga distanca". [9]

Një hetim i mëvonshëm zbuloi se fushata për të futur derën e pasme në projektin XZ Utils ishte një kulm i përafërsisht tre vjet përpjekjesh, midis nëntorit 2021 dhe shkurtit 2024, nga një përdorues që quhej Jia Tan dhe pseudonimi JiaT75 qe te fitoj akses në një pozicion besimi brenda projektit. Pas një periudhe presioni mbi themeluesin dhe drejtuesin kryesor për të dorëzuar kontrollin e projektit , Jia Tan fitoi pozicionin bashkë-mirëmbajtëse të XZ Utils dhe ishte në gjendje të nënshkruante në versionin 5.6.0, i cili prezantoi backdoor, dhe versioni 5.6.1, i cili rregulloi disa sjellje anormale që mund të ishin të dukshme gjatë testimit të softuerit të sistemit operativ. [6]

Disa nga pseudonimet e dyshuara të llogarive mimikese me emra përdoruesish si Jigar Kumar, krygorin4545 dhe misoeater91 . Dyshohet se emrat Jia Tan, si dhe autori i supozuar i kodit Hans Jansen (për versionet 5.6.0 dhe 5.6.1) janë pseudonime të zgjedhura nga pjesëmarrësit e fushatës. Asnjeri nuk ka asnjë lloj prezence të dukshme publike në zhvillimin e softuerit përtej disa viteve të shkurtra të fushatës. [10] [11]

Dera e pasme dallohej për nivelin e saj të sofistikuar dhe për faktin se autori ushtronte një nivel të lartë sigurie operacionale për një periudhë të gjatë kohore, ndërsa punonte për të arritur një pozicion besimi. Studiuesi amerikan i sigurisë Dave Aitel ka sugjeruar se i përshtatet modelit që i atribuohet APT29, një aktor i avancuar i kërcënimeve të vazhdueshme që besohet se po punon në emër të SVR-së ruse . Gazetari Thomas Claburn sugjeroi se mund të jetë çdo aktor shtetëror ose jo-shtetëror me burime të konsiderueshme. [12]

Mekanizmi

Dihet se kodi keqdashës gjendet në versionet 5.6.0 dhe 5.6.1 të paketës softuerike XZ Utils. Shfrytëzimi mbetet i fjetur nëse nuk përdoret një patch specifike e palës së tretë të serverit SSH. Në rrethanat e duhura, kjo ndërhyrje mund t'i mundësojë një aktori keqdashës të thyejë vërtetimin sshd dhe të fitojë akses të paautorizuar në të gjithë sistemin nga distanca. [9] Mekanizmi me qëllim të keq përbëhet nga dy skedarë testimi të kompresuar që përmbajnë kodin binar me qëllim të keq. Këta skedarë janë të disponueshëm në depon e git, por mbeten të fjetur nëse nuk nxirren dhe injektohen në program. [1] Kodi përdor mekanizmin glibc IFUNC për të zëvendësuar një funksion ekzistues në OpenSSH të quajtur RSA_public_decrypt me një version me qëllim të keq. OpenSSH normalisht nuk ngarkon liblzma, por një patch e zakonshme e palëve të treta e përdorur nga disa shpërndarje Linux e bën atë të ngarkojë libsystemd, i cili nga ana tjetër ngarkon lzma. [1] Një version i modifikuar i build-to-host.m4 u përfshi në skedarin e lëshimit tar të ngarkuar në GitHub, i cili nxjerr një skript që kryen injektimin aktual në liblzma . Ky skedar i modifikuar m4 nuk ishte i pranishëm në depon e git; ishte i disponueshëm vetëm nga skedarët tar të lëshuar nga mbajtësi i ndarë nga git. [1] Skripti duket se kryen injektimin vetëm kur sistemi po ndërtohet në një sistem Linux x86-64 që përdor glibc dhe GCC dhe po ndërtohet nëpërmjet dpkg ose rpm . [1]

Përgjigje

Riparimi

Agjencia federale e SHBA-së për Sigurinë Kibernetike dhe Sigurinë e Infrastrukturës ka lëshuar një këshillë sigurie duke rekomanduar që pajisjet e prekura të kthehen në një version të mëparshëm të pakompromis. [13] Shitësit e softuerit Linux, duke përfshirë Red Hat, SUSE dhe Debian, i kanë rikthyer paketat e prekura në versionet më të vjetra. [9] [14] GitHub çaktivizoi pasqyrat për depon xz përpara se t'i rivendoste ato më pas. [15]

Canonical shtyu lëshimin beta të Ubuntu 24.04 LTS dhe shijet e tij me një javë dhe zgjodhi një rindërtim të plotë binar të të gjitha paketave të shpërndarjes. [16] Megjithëse versioni i qëndrueshëm i Ubuntu ishte i paprekur, versionet në rrjedhën e sipërme ishin. Kjo masë paraprake u mor sepse Canonical nuk mund të garantonte deri në afatin fillestar të lëshimit që porta e pasme e zbuluar nuk ndikoi paketat shtesë gjatë përpilimit. [17]

Përgjigje më e gjerë

Shkencëtari kompjuterik Alex Stamos mendoi se "kjo mund të kishte qenë porta e pasme më e përhapur dhe më efektive e vendosur ndonjëherë në ndonjë produkt softuerësh", duke vënë në dukje se nëse dera e pasme do të mbetej e pazbuluar, do t'u kishte dhënë krijuesve të saj një çelës kryesor për cilindo nga qindra miliona. i kompjuterëve në mbarë botën që drejtojnë SSH". [18] Për më tepër, incidenti gjithashtu nisi një diskutim në lidhje me qëndrueshmërinë e varësisë së pjesëve kritike të infrastrukturës kibernetike nga vullnetarët e papaguar. [19]

Shënime

a. Dobesia eshte rregulluar mbrenda disa oreve te zbulimit prej rikthimit te nje versioni me te hershem qe dihet te jete i sigurte. b. Nese Jia Tan eshte nje grupe personash, nje emer i vertete i nje personi apo nje pseudonim i nje personi te vetem nuk dihet publikisht.

Referencat

  1. ^ a b c d e James, Sam. "xz-utils backdoor situation (CVE-2024-3094)". GitHub (në anglisht). Arkivuar nga origjinali më 2 prill 2024. Marrë më 2 prill 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  2. ^ "CVE-2024-3094". National Vulnerability Database. NIST. Arkivuar nga origjinali më 2 prill 2024. Marrë më 2 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  3. ^ Corbet, Jonathan. "A backdoor in xz". LWN. Arkivuar nga origjinali më 1 prill 2024. Marrë më 2 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  4. ^ Zorz, Zeljka (29 mars 2024). "Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094)". Help Net Security. Arkivuar nga origjinali më 29 mars 2024. Marrë më 29 mars 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  5. ^ a b "oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise". www.openwall.com. Arkivuar nga origjinali më 1 prill 2024. Marrë më 2024-04-03. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  6. ^ a b c d Goodin, Dan (1 prill 2024). "What we know about the xz Utils backdoor that almost infected the world". Ars Technica (në anglishte amerikane). Arkivuar nga origjinali më 1 prill 2024. Marrë më 1 prill 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  7. ^ O'Donnell-Welch, Lindsey (29 mars 2024). "Red Hat, CISA Warn of XZ Utils Backdoor". Decipher (në anglisht). Arkivuar nga origjinali më 29 mars 2024. Marrë më 29 mars 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  8. ^ a b Claburn, Thomas. "Malicious backdoor spotted in Linux compression library xz". The Register (në anglisht). Arkivuar nga origjinali më 1 prill 2024. Marrë më 1 prill 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  9. ^ a b c "Urgent security alert for Fedora 41 and Fedora Rawhide users" (në anglisht). Red Hat. Arkivuar nga origjinali më 29 mars 2024. Marrë më 29 mars 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  10. ^ "Watching xz unfold from afar". 31 mars 2024. Arkivuar nga origjinali më 6 prill 2024. Marrë më 6 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  11. ^ "Timeline summary of the backdoor attack on XZ Utils". 3 prill 2024. Arkivuar nga origjinali më 10 prill 2024. Marrë më 7 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  12. ^ Claburn, Thomas. "Malicious xz backdoor reveals fragility of open source". The Register. Arkivuar nga origjinali më 8 prill 2024. Marrë më 8 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  13. ^ "Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094" (në anglisht). CISA. 29 mars 2024. Arkivuar nga origjinali më 29 mars 2024. Marrë më 29 mars 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  14. ^ "SUSE addresses supply chain attack against xz compression library". SUSE Communities. SUSE. Arkivuar nga origjinali më 29 mars 2024. Marrë më 29 mars 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  15. ^ "Important information regarding xz-utils (CVE-2024-3094)". about.gitlab.com. Arkivuar nga origjinali më 1 prill 2024. Marrë më 2024-05-31. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  16. ^ "Noble Numbat Beta delayed (xz/liblzma security update)". Ubuntu Community Hub (në anglisht). 2024-04-03. Arkivuar nga origjinali më 10 prill 2024. Marrë më 2024-04-10.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  17. ^ Sneddon, Joey (3 prill 2024). "Ubuntu 24.04 Beta Delayed Due to Security Issue". OMG! Ubuntu. Arkivuar nga origjinali më 8 prill 2024. Marrë më 10 prill 2024. {{cite web}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  18. ^ Roose, Kevin (3 prill 2024). "Did One Guy Just Stop a Huge Cyberattack?". The New York Times. Arkivuar nga origjinali më 4 prill 2024. Marrë më 4 prill 2024. {{cite news}}: Mungon ose është bosh parametri |language= (Ndihmë!)Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)
  19. ^ Khalid, Amrita (2 prill 2024). "How one volunteer stopped a backdoor from exposing Linux systems worldwide". The Verge (në anglisht). Arkivuar nga origjinali më 4 prill 2024. Marrë më 4 prill 2024.{{cite web}}: Mirëmbajtja CS1: Datë e përkthyer automatikisht (lidhja)


Lidhje te jashtme


Gabim referencash: Etiketat <ref> ekzistojnë për një grup të quajtur "lower-alpha", por nuk u gjet etiketa korresponduese <references group="lower-alpha"/>

Marrë nga "https://sq.wikipedia.org/w/index.php?title=XZ_Utils_backdoor&oldid=2731129"