ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkbackdoor בחבילת xz אשר מוביל לפרצה ב-ssh

published at 30/03/2024 - 22:18 · ‏פורסם mksoft · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע הדלת האחורית הוכנסה ע"י המתחזק העיקרי של xz‎‏ [LWN], בגרסאות 5.5.1 עד 5.6.1. לדלת הזו יש גם השפעה על lzma ומכאן על ssh. למעוניינים יש תחקיר מקיף על הנושא.

הפצות עם ענפים יציבים אשר משתנים בקצב איטי לא סבלו מן הסתם מהתופעה. ענפים לא יציבים שלהן או הפצות מתגלגלות פרסמו עדכונים. מומלץ למצוא בידיעה ב-lwn המקושרות למעלה את ההודעה של ההפצה שלכם.

ראו גם Backdoor found in widely used Linux utility breaks encrypted SSH connections.

בכל מקרה, לעדכן!



הערה: תודה לאנונימיים שולחי הידיעות בנושא, אשר אוחדו כאן.
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת mksoft

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

backdoor בחבילת xz אשר מוביל לפרצה ב-ssh | כניסה / יצירת מנוי חדש | 10 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh (ניקוד: 0)
ע"י פינגווין אנונימי ב 01/04/2024 - 12:15
כמה השגות שלי מהעניין:

* הקומיט הראשון שלו ב 2021 לפרוייקט libarchive היה הוספת חולשה אפשרית:
https://github.com/libarchive/libarchive/pull/1609

* כדי להשתלט על הפרוייקט XZ היו דרושים הנדסת אנוש (נוצרו חשבונות מזויפים כדי להאיץ במתחזק הקיים להחליף אותו במישהו אחר) והכנה מוקדמת (תיקונים שנשלחו)

* התמדה מעל שנתיים של תכנון הדלת האחורית - ייתכן ומדובר בגוף/קבוצה ולא אדם יחיד.

* כתובת IP (משרתי IRC) היא מסינגפור, אך כנראה פרוקסי.

* בקוד ישנן רק שלוש שורות ללא שימוש - הערות בסקריפט שלא באמת דרושות. (השורה השניה מכילה תווים סינים) להלן:
####Hello####
#��Z�.hj�
####World####

* הפורמט של XZ תומך בטריליונים של אלגוריתמים אך שימוש של רק אחד - lzma2, ויתכן שאפילו מאפשר הרצת קוד:
https://www.cisecurity.org/advisory/a-vulnerability-in-xz-utils-could-allow-for-remote-code-execution_2024-033
https://www.nongnu.org/lzip/xz_inadequate.html

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/04/2024 - 10:49
תיקון: הקומנטים דרושים כיון שהם חלק מ LZMA STREAM שנועד לכאורה לבדיקות.

בינתיים חוקרים ממשיכים ללמוד את הנוזקה ונראה שניצלנו במזל גרידא.

ועולה השאלה המתבקשת - אם זה מה שמצאנו במקרה, מה אנחנו לא יודעים.

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/04/2024 - 17:12
שלא לדבר על זה שזו דוגמא מעניינת לכך שקוד פתוח לא אומר בהכרח בטוח יותר מקוד סגור.
די בטוח שאם הקוד היה סגור, זה פשוט לא היה קורה.


[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/04/2024 - 18:05
זה דווקא נצחון לקוד הפתוח - הפתיחות הקשתה על הכנסת הקוד והקלה על גילויו.

קוד סגור מונע ממך לדעת מה קורה, ואם כבר הזריקו לך משהו - שיהיה לך בהצלחה.

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/04/2024 - 22:24
עוד ניצחון כזה ואבדנו.
זה התגלה במקרה.
הוא היה יכול באותה מידה לא להתגלות אף פעם או מספיק זמן לא להתגלות וליצור נזק גדול עם הזמן כשאף אחד לא יודע עליו.

אם הקוד היה סגור, לא הייתה אפשרות להנדסה חברתית כזו מפי מספר בני אדם שעבדו בשיתוף פעולה כניראה, שאף אחד לא יודע מי הם, להצליח להכניס את הקוד פנימה בסופו של דבר.

כשהקוד סגור, מן הסתם זו חברה מסחרית שאשכרה משלמת כסף לאנשים בשביל להכניס קוד פנימה.
לא סביר שלאנשים אנונימיים תהיה מלכתחילה גישה לקוד המקור כי הקוד סגור ובטח לא תתאפשר הנדסה חברתית לאורך זמן רב עד הכנסת הקוד הזדוני פנימה, שהרי מדובר בשכירים שמוכָּרים לחברה ולא סתם שמות משתמש שאין לך מושג מי הם כמו במקרה של xz.

במקרה הנוכחי, קוד פתוח הייתה פירצה הקוראת לגנב.



[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2024 - 10:01
אין דבר כזה „בלתי אפשרי״. זה עניין של מחיר ומזל.

מישהו כתב על כך בפלנטה של דביאן:
https://changelog.complete.org/archives/10642-the-xz-issue-isnt-about-open-source

בקצרה: יש כמה וכמה דוגמאות מהזמן האחרון של פרצות אבטחה שהשפיעו על תוכנה קניינית. כן, כזו שמפותחת על ידי שכירים שמוכרים לחברה (זה כל כך מסובך לגוף מרובה אמצעים לשחד מפתח קיים או להכניס מפתח חדש? בפרויקט מנהטן היה לסובייטים מרגל שדיווח להם באופן שוטף, לדוגמה).

החוזק העיקרי של תוכנה חופשית הוא בשקיפות. קלאוס פוקס, המרגל הסובייטי בפרויקט מנהטן, סיפק מידע למפעיליו במשך שנים, ומפעיליו השתמשו במידע בתבונה. כאן מרגע שנחשפה התוכנה הזדונית במקום כלשהו, האשם נודע תוך יום בערך. וזה על ידי מישהו שלא הייתה לו גישה מיוחדת למיזם התוכנה. סתם מפתח.

שלא לדבר על כך שהיה כאן ניצול של נקודת חוסר שקיפות. xz-utils התנהל בצורה לא מספיק שקופה בשחרור החבילות, והתוקפים נצלו את זה (אבל מרגע שעלה חשד, זו גם הייתה דרך להתמקד בקוד חשוד, שלא ברור בכלל מה הוא עושה, אבל ברור שהוא השתנה).

לך תגלה דבר כזה ביישומון קטן שרץ בטלפון שלך ואין לך ממש מושג מאיפה הוא הגיע.

-- צפריר

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 1)
ע"י elcuco ב 04/04/2024 - 19:07
(מידע על משתמש | שלח הודעה)
https://github.com/libarchive/libarchive/pull/1609

לא רואה חולשה כאן - מה הבעייה *כאן*? (לי ברור שזה חלק מהנדסת אנוש וראינו את הסוף).

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/04/2024 - 19:40
הסרה של safe_printf היא מסוכנת בשימוש עם ESCAPE CODES. ראה כאן:
https://github.com/libarchive/libarchive/pull/1609#issuecomment-2028775024

[ השב לזאת ]
Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh (ניקוד: 0)
ע"י פינגווין אנונימי ב 03/04/2024 - 10:10
כן זה היה טוב,
מעניין היה ללמוד על ההחדרה של הנ"ל בזמן בנייה בסקירות השונות של החושלה

[ השב לזאת ]

Re: backdoor בחבילת xz אשר מוביל לפרצה ב-ssh(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2024 - 13:33
חושלה זו מילה נהדרת גם אם יצא לך בטעות :-).

[ השב לזאת ]