彼らは、いくつかの Linux ディストリビューションに影響を与える XZ ユーティリティのバックドアを検出しました。

Darkcrizt

4分

裏口

バックドアが Linux に影響を与える

最近のニュースはそれを壊しました XZ Utils パッケージでバックドアが特定されました 攻撃者を許可します 処理されたデータを傍受して変更する liblzma ライブラリに関連付けられたアプリケーションによって。主な脆弱性 (すでに CVE-2024-3094 としてカタログ化されています) OpenSSH サーバー上にあります。 一部のディストリビューションでは libsystemd ライブラリが使用され、これは liblzma に依存します。 sshd を liblzma の脆弱なバージョンにリンクすると、攻撃者は認証なしで SSH サーバーにアクセスできます。

発見 XZ Utils プロジェクトのバックドアから 過剰なCPU消費などの問題が検出された後に発生 SSH 経由で Debian SID ベースのシステムに接続するときに valgrind によって生成されるエラー。これらの問題により、より詳細な調査が行われ、バックドアの存在が明らかになりました。

申し立てられた バックドア作者の Jia Tan は、xz プロジェクトの積極的で尊敬されている開発者でした。 数年間にわたり「共同メンテナ」の地位にあり、いくつかのバージョンの開発に多大な貢献をしました。 xz プロジェクトに加えて、xz-java や xz-embedded などの他の関連パッケージにも貢献しました。最近では、Linux カーネルで使用される XZ Embedded プロジェクトのメンテナにも組み込まれました。

この悪意のある変更は、バックドアを含む xz 5.6.0 バージョンの問題 (速度低下や sshd クラッシュなど) に関する苦情を受けて発見されました。次のバージョンである xz 5.6.1 には、これらの苦情に応えて Jia Tan によって準備された変更が含まれており、これはおそらくバックドアの存在を隠す方法でした。

さらに、 Jia Tan が互換性のない変更を加えました 昨年の「-fsanitize=address」検査モードでは、当時のファズテストの無効化につながりました。これらの詳細は、バックドアの導入がプロジェクト開発内で計画された隠された行為であり、XZ Utils を使用する未知の数のユーザーとプロジェクトを侵害した可能性があることを示唆しています。

これが この脆弱性は、Linux カーネルと Glibc C ライブラリに基づく x86_64 システムに影響します。 これには、sd_notify メカニズムをサポートする libsystemd を備えた sshd が含まれます。 いくつかの要因により影響が軽減されました。 たとえば、バックドアを備えた liblzma のバージョンは大規模なディストリビューションの安定版リリースには含まれておらず、Arch Linux や Gentoo などの一部のディストリビューションでは脆弱なバージョンの xz が使用されていましたが、特定の構成により攻撃の影響を受けません。

バックドアのアクティブ化は build-to-host.m4 ファイルの m4 マクロに隠されていたことが記載されています コンパイル中に使用され、悪意のあるコードが liblzma ライブラリに挿入される可能性があります。この悪意のあるコードは、ライブラリ内の一部の関数の動作ロジックを変更し、影響を受けるシステム上の SSH サーバーへの不正アクセスを容易にしました。

XZ Utils パッケージにバックドアを実装するプロセス その存在とアクティブ化を隠すために、いくつかの手順とテクニックが必要でした。 m4 マクロは、悪意のあるコードを liblzma ライブラリに導入するために、コンパイル中に build-to-host.m4 ファイルで使用されました。これらのマクロは、リリースの tar ファイルには存在していましたが、Git リポジトリには存在せず、.gitignore に追加されました。さらに、悪意のあるテスト ファイルがリポジトリに含まれており、リリース生成プロセスへの特権アクセスが示唆されています。

/usr/sbin/sshd コマンドを実行することでバックドアがアクティブ化されました デバッグされていない環境や運用環境では隠蔽され、通常の端末での検出を回避していました。 RSA_public_decrypt 関数は sshd 認証プロセスをバイパスするために偽造されており、攻撃者が SSH サーバーに不正にアクセスできるようになります。

バックドアの存在をさらに隠すために、検出に対する保護メカニズムが組み込まれ、デバッグ環境で実行が検証されました。これらすべては、バックドアの責任者が検出を回避し、影響を受けるシステムへの攻撃を成功させるための高度なレベルの計画と技術的知識を示しています。

あなたがそれについてもっと知りたいなら、あなたは詳細を調べることができます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。