Vandaag van SecurityNL ontvangen: https://www.security.nl/posting/836168
inhoud bericht van SecurityuNL:
Onderzoeker: XZ-backdoor maakt remote code execution mogelijk
zondag 31 maart 2024, 09:35 door Redactie, 55 reacties
De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen.
XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin.
Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd.
Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda.
Bij toeval
De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
Bij het bericht staan (op dit moment) 55 reacties....
Als ik het goed heb begrepen is dit een stukje gereedschap dat je bij Github moet downloaden en zit het niet bij de standaard Mint software.
31-03-2014 m.b.t. Linux melding van Security NL
Re: 31-03-2014 m.b.t. Linux melding van Security NL
@JanKol, kun misschien de datum veranderen in dit topic. Geeft misschien verwarring.
Niet panikeren, er is een Mintforum
1] LM 21.3 Xfce (Desktop hoofd pc). 2] LMDE 6 Xfce/LM 21.3 Xfce Clevo laptop). 3] LMDE 6 Xfce (Dell Laptop). 4] LMDE 6 Xfce/LM 21.3 Xfce(HP Desk test pc). 5] Xubuntu 22.04.3 Xfce (Dell desktop). 6] W10 Dell desktop
1] LM 21.3 Xfce (Desktop hoofd pc). 2] LMDE 6 Xfce/LM 21.3 Xfce Clevo laptop). 3] LMDE 6 Xfce (Dell Laptop). 4] LMDE 6 Xfce/LM 21.3 Xfce(HP Desk test pc). 5] Xubuntu 22.04.3 Xfce (Dell desktop). 6] W10 Dell desktop
Re: 31-03-2014 m.b.t. Linux melding van Security NL
Tip: doe deze 10 dingen direct na installatie van Linux Mint 21.3 Virginia
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
Re: 31-03-2014 m.b.t. Linux melding van Security NL
Als je goed gelezen had zou je merken dat NZ versie lager is.
Bij LMDE 6 is dat versie 5.4.1
Ik heb altijd de vraag gesteld of elke nieuwe update wel gecontroleerd wordt op hack.
Dus ben ik niet blind geweest dat ik iets merkte.
Onlangs viel mij op dat stacer meer doet dan voor wat het bedoeld is.
Toen ik dat verwijderde stopte het probleem.
Ik had dat stacer maar een keer gebruik maar was dat ondertussen vergeten tot ik weer aan dacht.
Zo zijn er nog andere app waarvan ik de naam vergeten ben die veel meer doet dan het is.
Bij LMDE 6 is dat versie 5.4.1
Ik heb altijd de vraag gesteld of elke nieuwe update wel gecontroleerd wordt op hack.
Dus ben ik niet blind geweest dat ik iets merkte.
Onlangs viel mij op dat stacer meer doet dan voor wat het bedoeld is.
Toen ik dat verwijderde stopte het probleem.
Ik had dat stacer maar een keer gebruik maar was dat ondertussen vergeten tot ik weer aan dacht.
Zo zijn er nog andere app waarvan ik de naam vergeten ben die veel meer doet dan het is.
Wie is er online
Gebruikers op dit forum: Geen geregistreerde gebruikers en 4 gasten