Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Hz Sử dụng Backdoor được cấy vào cuộc tấn công chuỗi cung ứng phức tạp

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 89

A cửa hậu mới được phát hiện trong Hz Utils, một tiện ích nén dữ liệu có trong hầu hết các bản phân phối Linux, đã làm sống lại bóng ma của những mối lo ngại về bảo mật chuỗi cung ứng phần mềm lớn trước đây như lỗ hổng Log4Shell và cuộc tấn công vào SolarWinds.

Cửa sau được nhúng trong thư viện Xperia có tên liblzma và cung cấp cho kẻ tấn công từ xa một cách để vượt qua xác thực shell (sshd) an toàn và sau đó có quyền truy cập hoàn toàn vào hệ thống bị ảnh hưởng. Một cá nhân có quyền truy cập mã ở cấp độ người bảo trì dường như đã cố tình đưa cửa sau vào một cuộc tấn công kéo dài nhiều năm được thực hiện một cách tỉ mỉ.

Cửa sau ảnh hưởng đến Xperia Xz Utils 5.6.0 và 5.6.1, là phiên bản của tiện ích hiện chỉ được sử dụng trong các bản phát hành beta và không ổn định của Fedora, Debian, Kali, SUSE mở và Arch Linux. Do đó, mối đe dọa tiềm tàng với cửa hậu này hiện đã hạn chế hơn đáng kể so với khi phần mềm độc hại đã tìm được đường vào bản phân phối Linux ổn định.

Mặc dù vậy, việc ai đó tìm cách lẻn một cửa hậu gần như không thể bị phát hiện vào một thành phần nguồn mở đáng tin cậy, được sử dụng rộng rãi — và sự tàn phá tiềm tàng mà nó có thể gây ra — đã là một lời cảnh tỉnh đau đớn về việc các tổ chức dễ bị tổn thương vẫn tiếp tục bị tấn công thông qua nguồn cung cấp. xích.

“Cuộc tấn công vào chuỗi cung ứng này là một cú sốc đối với cộng đồng OSS, vì ZIP Utils được coi là một dự án đáng tin cậy và được xem xét kỹ lưỡng,” Các nhà nghiên cứu của JFrog cho biết trong một bài đăng trên blog. “Kẻ tấn công đã tạo dựng được danh tiếng đáng tin cậy với tư cách là nhà phát triển OSS trong nhiều năm và sử dụng mã rất khó hiểu để tránh bị phát hiện khi xem xét mã.”

XZ hữu ích là một tiện ích dòng lệnh để nén và giải nén dữ liệu trong Linux và các hệ điều hành tương tự Unix khác. Nhà phát triển Microsoft Andres Freund đã phát hiện ra cửa sau trong phần mềm khi điều tra hành vi kỳ lạ trong những tuần gần đây xung quanh liblzma trên một số bản cài đặt Debian. Sau khi ban đầu nghĩ rằng cửa hậu hoàn toàn là một vấn đề của Debian, Freund đã phát hiện ra vấn đề này thực sự ảnh hưởng đến kho lưu trữ Xperia ngược dòng và các tarball hoặc tệp lưu trữ liên quan. Anh công khai tiết lộ mối đe dọa vào ngày 29 tháng XNUMX.

Cuối tuần qua, các đội an ninh liên kết với Fedora, Debian, openSUSE, Kali,Arch đã đưa ra lời khuyên khẩn cấp cảnh báo các tổ chức đang chạy các bản phát hành Linux bị ảnh hưởng ngay lập tức quay trở lại các bản phát hành phần mềm ổn định hơn trước đó nhằm giảm thiểu rủi ro tiềm ẩn khi thực thi mã từ xa.

Lỗ hổng nghiêm trọng tối đa

Red Hat, nhà tài trợ chính và người đóng góp cho Fedora, đã gán cho cửa sau một mã định danh lỗ hổng (CVE-2024-3094) và đánh giá đây là rủi ro nghiêm trọng tối đa (điểm CVSS là 10) để thu hút sự chú ý đến mối đe dọa. Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã tham gia vào dàn hợp xướng kêu gọi các tổ chức sử dụng các bản phân phối Linux bị ảnh hưởng hãy hạ cấp tiện ích Xperia của họ lên phiên bản cũ hơn và tìm kiếm bất kỳ hoạt động tiềm ẩn nào liên quan đến cửa sau và báo cáo mọi phát hiện như vậy cho cơ quan.

Tất cả các lời khuyên đều đưa ra lời khuyên cho người dùng về cách nhanh chóng kiểm tra sự hiện diện của các phiên bản Xperia có cửa sau trong mã của họ. Red Hat đã phát hành bản cập nhật hoàn nguyên Xperia Xperia về các phiên bản trước đó. Công ty sẽ cung cấp bản cập nhật này thông qua quy trình cập nhật thông thường. Nhưng người dùng lo ngại về các cuộc tấn công tiềm ẩn có thể buộc cập nhật nếu họ không muốn đợi bản cập nhật có sẵn thông qua quy trình thông thường, công ty cho biết.

Hôm nay Binarly phát hành một công cụ miễn phí mà các tổ chức cũng có thể sử dụng để tìm kiếm các chiếc Xperia có cửa sau.

Scott Caveza, kỹ sư nghiên cứu nhân viên tại Tenable cho biết: “Nếu mã độc này được đưa vào các bản phát hành hệ điều hành ổn định trong nhiều bản phân phối Linux, chúng ta có thể đã chứng kiến ​​sự khai thác tràn lan trên diện rộng”. “Việc này càng không được chú ý thì khả năng có thêm mã độc từ bất kỳ ai mà tác nhân độc hại này có thể là càng lớn.”

Trong một Câu hỏi thường gặp, Tenable đã mô tả cửa sau như sửa đổi các chức năng trong liblzma theo cách cho phép kẻ tấn công chặn và sửa đổi dữ liệu trong thư viện. Các nhà nghiên cứu lưu ý: “Trong ví dụ được Freund quan sát, trong một số điều kiện nhất định, cửa hậu này có thể cho phép tác nhân độc hại 'phá vỡ xác thực sshd', cho phép kẻ tấn công giành quyền truy cập vào hệ thống bị ảnh hưởng”.

Xperia Sử dụng “Người bảo trì” đằng sau Backdoor

Điều khiến cửa sau trở nên đặc biệt rắc rối là việc ai đó sử dụng tài khoản thuộc về người duy trì Xperia Z Util đã nhúng phần mềm độc hại vào gói trong một hoạt động dường như đã được lên kế hoạch cẩn thận trong nhiều năm. trong một bài đăng trên blog được tham khảo rộng rãi, Nhà nghiên cứu bảo mật Evan Boehs đã theo dõi hoạt động độc hại này từ năm 2021 khi một cá nhân sử dụng tên Jia Tan tạo một tài khoản GitHub và gần như ngay lập tức bắt đầu thực hiện những thay đổi đáng ngờ đối với một số dự án nguồn mở.

Bài đăng trên blog cung cấp dòng thời gian chi tiết về các bước mà Jia Tan và một số cá nhân khác đã thực hiện để dần dần tạo dựng đủ niềm tin trong cộng đồng Xperia để thực hiện các thay đổi đối với phần mềm và cuối cùng là giới thiệu cửa sau.

Boehs nói với Dark Reading: “Tất cả các bằng chứng đều chỉ ra rằng việc thao túng xã hội đang được một người sử dụng với mục đích cuối cùng là chèn một cửa sau”. “Về cơ bản, chưa bao giờ có nỗ lực thực sự để duy trì dự án, chỉ để có đủ niềm tin để chèn [cửa sau] một cách lặng lẽ.”

Thông thường, việc đạt được quyền truy cập cam kết vào một kho lưu trữ đòi hỏi một cá nhân phải thiết lập cảm giác tin cậy. Thông thường, các dự án chỉ cấp quyền truy cập cam kết mới cho các cá nhân khi có nhu cầu và sau khi đánh giá rủi ro, Boehs nói.

“Trong trường hợp này, Jia đã tạo ra nhu cầu [dường như] chính đáng về việc có thêm người bảo trì… và sau đó bắt đầu xây dựng lòng tin. Xã hội của chúng ta được xây dựng dựa trên sự tin tưởng và đôi khi một số kẻ xảo quyệt lợi dụng nó,” ông lưu ý. “Đạt được sự cho phép đòi hỏi sự tin tưởng. Niềm tin cần có thời gian để thiết lập. Jia đã ở trong cuộc chơi lâu dài này.”

Boehs nói rằng không rõ chính xác khi nào Jia Tan trở thành thành viên đáng tin cậy của kho lưu trữ. Nhưng ngay sau cam kết đầu tiên vào năm 2022, Jia Tan đã trở thành người đóng góp thường xuyên và hiện là người tích cực thứ hai trong dự án. GitHub kể từ đó đã đình chỉ tài khoản của Jia Tan.

Saumitra Das, phó chủ tịch kỹ thuật tại Qualys, cho biết những gì đã xảy ra với Xperia Util có thể xảy ra ở nơi khác.

Das nói: “Nhiều thư viện quan trọng trong nguồn mở đang được duy trì bởi các tình nguyện viên trong cộng đồng, những người không được trả tiền cho việc đó và có thể bị áp lực do các vấn đề cá nhân của họ”.

Những người bảo trì chịu áp lực thường chào đón những người đóng góp sẵn sàng dành dù chỉ một chút thời gian cho dự án của họ. Ông nói: “Theo thời gian, những người như vậy có thể giành được nhiều quyền kiểm soát hơn đối với mã,” như trường hợp của XX Utils.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.