Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

XZ maakt gebruik van achterdeur geïmplanteerd in ingewikkelde supply chain-aanval

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 92

A nieuw ontdekte achterdeur in XZ Utils, een datacompressiehulpprogramma dat aanwezig is in bijna alle Linux-distributies, heeft de geesten van eerdere grote beveiligingsproblemen in de softwaretoeleveringsketen, zoals de Log4Shell-kwetsbaarheid en de aanval op SolarWinds, nieuw leven ingeblazen.

De achterdeur is ingebed in een XZ-bibliotheek genaamd liblzma en biedt aanvallers op afstand een manier om Secure Shell (sshd)-authenticatie te omzeilen en vervolgens volledige toegang te krijgen tot een getroffen systeem. Het lijkt erop dat een persoon met toegang tot de code op beheerdersniveau opzettelijk de achterdeur heeft geïntroduceerd in een nauwgezet uitgevoerde, meerjarige aanval.

De achterdeur heeft betrekking op XZ Utils 5.6.0 en 5.6.1, dit zijn versies van het hulpprogramma die momenteel alleen worden gebruikt in onstabiele en bètaversies van Fedora, Debian, Kali, open SUSE en Arch Linux. Als gevolg hiervan is de potentiële dreiging met deze achterdeur voorlopig aanzienlijk beperkter dan wanneer de malware zijn weg had gevonden naar een stabiele Linux-distributie.

Toch is het feit dat iemand erin is geslaagd een vrijwel ondetecteerbare achterdeur binnen te dringen in een vertrouwde, veelgebruikte open source-component – ​​en de potentiële verwoesting die dit had kunnen veroorzaken – een pijnlijke wake-up call over hoe kwetsbaar organisaties blijven voor aanvallen via het aanbod. ketting.

“Deze supply chain-aanval kwam als een schok voor de OSS-gemeenschap, omdat XZ Utils werd beschouwd als een vertrouwd en onder de loep genomen project,” Dat zeiden JFrog-onderzoekers in een blogpost. “De aanvaller heeft in de loop van meerdere jaren een geloofwaardige reputatie opgebouwd als OSS-ontwikkelaar en gebruikte zeer onduidelijke code om detectie door codebeoordelingen te omzeilen.”

XZ Nuttig is een opdrachtregelhulpprogramma voor het comprimeren en decomprimeren van gegevens in Linux en andere Unix-achtige besturingssystemen. Microsoft-ontwikkelaar Andres Freund ontdekte de achterdeur in de software toen hij de afgelopen weken vreemd gedrag rond liblzma op sommige Debian-installaties onderzocht. Nadat hij aanvankelijk dacht dat de achterdeur puur een Debian-probleem was, ontdekte Freund dat het probleem feitelijk gevolgen had voor de upstream XZ-repository en de bijbehorende tarballs of archiefbestanden. Hij publiekelijk maakte de dreiging op 29 maart bekend.

Afgelopen weekend hebben beveiligingsteams zich aangesloten bij Fedora, Debian, openSUSE, Kali, en boog heeft dringende adviezen uitgebracht waarin organisaties die de getroffen Linux-releases draaien, worden gewaarschuwd om onmiddellijk terug te keren naar eerdere, stabielere releases van hun software om het potentiële risico van uitvoering van externe code te beperken.

Maximale ernst Vuln

Red Hat, de hoofdsponsor en bijdrager aan Fedora, heeft de achterdeur een kwetsbaarheidsidentificator toegewezen (CVE-2024-3094) en beoordeelde het als een maximaal ernstrisico (CVSS-score van 10) om de aandacht op de dreiging te vestigen. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) sloot zich aan bij het koor van stemmen dat er bij organisaties die getroffen Linux-distributies gebruiken op aandrong downgrade hun XZ Utils naar een eerdere versie, en om op zoek te gaan naar mogelijke activiteiten die verband houden met de achterdeur en dergelijke bevindingen aan het bureau te rapporteren.

Alle adviezen boden tips voor gebruikers over hoe ze snel konden controleren op de aanwezigheid van XZ-versies met een achterdeur in hun code. Red Hat heeft een update uitgebracht die XZ terugzet naar eerdere versies, die het bedrijf beschikbaar zal stellen via het normale updateproces. Maar gebruikers die zich zorgen maken over mogelijke aanvallen kunnen de update forceren als ze niet willen wachten tot de update via het normale proces beschikbaar komt, aldus het bedrijf.

Heden Binarly heeft een gratis tool uitgebracht waarmee organisaties ook naar backdoored XZ’s kunnen zoeken.

"Als deze kwaadaardige code was geïntroduceerd in stabiele OS-releases in meerdere Linux-distributies, hadden we massale exploitatie in het wild kunnen zien", zegt Scott Caveza, stafonderzoeksingenieur bij Tenable. “Hoe langer dit onopgemerkt bleef, hoe groter de kans op meer kwaadaardige code van wie deze kwaadwillende actor ook mag zijn.”

In een FAQ, Tenable beschreef de achterdeur zoals het zodanig aanpassen van functies binnen liblzma dat aanvallers gegevens binnen de bibliotheek kunnen onderscheppen en wijzigen. “In het door Freund waargenomen voorbeeld zou deze achterdeur onder bepaalde omstandigheden een kwaadwillende actor in staat kunnen stellen ‘de sshd-authenticatie te verbreken’, waardoor de aanvaller toegang kan krijgen tot een getroffen systeem”, aldus de onderzoekers.

XZ maakt gebruik van "Maintainer" achter de achterdeur

Wat de achterdeur vooral lastig maakt, is het feit dat iemand die een account van een onderhouder van XZ Util gebruikt, de malware in het pakket heeft ingebed in wat een zorgvuldig geplande operatie van meerdere jaren lijkt te zijn geweest. In een veel verwezen blogpost, Beveiligingsonderzoeker Evan Boehs traceerde de kwaadaardige activiteit terug tot 2021, toen een persoon die de naam Jia Tan gebruikte een GitHub-account aanmaakte en vrijwel onmiddellijk verdachte wijzigingen begon aan te brengen in sommige open source-projecten.

De blogpost geeft een gedetailleerde tijdlijn van de stappen die Jia Tan en een paar andere individuen hebben genomen om geleidelijk genoeg vertrouwen op te bouwen binnen de XZ-gemeenschap om wijzigingen in de software aan te brengen en uiteindelijk de achterdeur te introduceren.

“Al het bewijs wijst erop dat sociale manipulatie wordt gebruikt door een persoon met als enig einddoel het invoegen van een achterdeur”, vertelt Boehs aan Dark Reading. “In principe is er nooit een echte poging gedaan om het project in stand te houden, maar alleen om genoeg vertrouwen te winnen om [de achterdeur] stilletjes in te brengen.”

Normaal gesproken vereist het verkrijgen van commit-toegang tot een repository dat een individu een gevoel van betrouwbaarheid opbouwt. Projecten geven individuen vaak pas toegang tot nieuwe commits als daar behoefte aan is en na een risicoanalyse, zegt Boehs.

“In dit geval creëerde Jia een [schijnbaar] legitieme behoefte aan meer beheerders … en begon toen vertrouwen op te bouwen. Onze samenleving is gebouwd op vertrouwen, en af ​​en toe maken sluwe mensen daar misbruik van”, merkt hij op. “Voor het verkrijgen van toestemming is vertrouwen nodig. Vertrouwen kost tijd om te vestigen. Jia zat er voor de lange wedstrijd in.'

Boehs zegt dat het onduidelijk is wanneer Jia Tan precies een vertrouwd lid van de repository werd. Maar kort na zijn eerste opdracht in 2022 leverde Jia Tan een regelmatige bijdrage en is momenteel de op een na meest actieve deelnemer aan het project. GitHub heeft sindsdien het account van Jia Tan opgeschort.

Saumitra Das, vice-president engineering bij Qualys, zegt dat wat er met XZ Util is gebeurd, ook elders kan gebeuren.

“Veel cruciale bibliotheken in open source worden onderhouden door vrijwilligers uit de gemeenschap die er niet voor worden betaald en die vanwege hun persoonlijke problemen onder druk kunnen staan”, zegt Das.

Onderhouders die onder druk staan, verwelkomen vaak bijdragers die bereid zijn zelfs maar een klein beetje tijd aan hun projecten te besteden. “Zulke mensen kunnen na verloop van tijd meer controle over de code krijgen”, zoals het geval was met XZ Utils, zegt hij.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.