Стани премиум член и добиј попуст на 2000+ производи и куп други бенефити!
  • Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Нападот врз xz и openssh (спречен, за сега)

gdamjan

Unstoppable
3 април 2008
3.540
2.507
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Кој следи можда веќе чу, во библиотеката за декомпресија liblzma (дел од проектот xz) е најден backdoor (задна врата?) код.
Според првичните сознанија backdoor кодот во библиотеката се активира кога таа библиотека е вчитана како дел од sshd процесот (openssh, secure shell), и притоа менува една од рутините на openssh со што овозможува remote shell пристап до системот без проверка/автентификација.

По се изгледа, ова е намерен чин на еден од соработниците на проектот, кој се појавил пред 2 години, прво почнал да помага со полесни таскови и тестови, да некаде на почеток на годинава го има вклучено backdoor кодот во архиви како дел од тестовите. Интересното е дека source кодот симнат директно од github функционира нормално, меѓутоа, истиот лик има направено и две верзии/release-ови (5.6.0 и 5.6.1) на кои има закачено своја архива на source-code, кои незначително се разликуваат од официјалниот source-код со тоа што го активитраат backdoor-от.

Потоа следела и кампања да се update-ира на најновите верзии во Fedora Ubuntu и Debian - што за малку и ќе успеело (Fedora 40 и Ubuntu 24.04 треба да искочат наскоро).

Во меѓувреме, Андрес Фреунд додека тестира перфомаси на Postgres базата, приметува дека sshd му троши неочекувано повеќе процесорко време и тргнува да го истражува проблемот. При што доаѓа до backdoor-от и го наоѓа и изворот. И работата станува јавна.

Моментално github проектната страница на xz е исклучена, моја претпоставка е дека е замрзната состојбата за да се направи audit/форензика и да се соберат докази за фактичката состојба.

 

gdamjan

Unstoppable
3 април 2008
3.540
2.507
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
Еден од заклучоците е, ако сте користеле Fedora 40 beta или Rawhide, Debian Testing, OpenSuse Tumbleweed - дека ќе треба да реинсталирате за најсигурно.

Генерално ниедна стабилна/release-ната верзија на дистрибуција не е афектирана, вака или онака. Специфичноста на конкретниот malware е дека се инјектира во lzma библиотеката само при билдање на rpm или dpkg пакети, а потоа пробува да го нападне sshd.
 

Нови мислења

Последни Теми

Статистика

Теми
46.792
Мислења
969.387
Членови
35.182
Огласи
2.801
Најнов член
bunce
На врв Дно