31-03-2014 m.b.t. Linux melding van Security NL

Klets over Linux in het algemeen
JanKol
Senior
Senior
Berichten: 139
Lid geworden op: Do 24 Aug 2017, 23:04

31-03-2014 m.b.t. Linux melding van Security NL

Berichtdoor JanKol » Di 02 Apr 2024, 14:55

Vandaag van SecurityNL ontvangen: https://www.security.nl/posting/836168

inhoud bericht van SecurityuNL:

Onderzoeker: XZ-backdoor maakt remote code execution mogelijk
zondag 31 maart 2024, 09:35 door Redactie, 55 reacties

De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen.

XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin.

Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd.

Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda.

Bij toeval
De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."

Bij het bericht staan (op dit moment) 55 reacties....
Als ik het goed heb begrepen is dit een stukje gereedschap dat je bij Github moet downloaden en zit het niet bij de standaard Mint software.
Gebruikersavatar
HWE64
Held
Held
Berichten: 553
Lid geworden op: Ma 21 Sep 2020, 10:34
Locatie: Montferland (Achterhoek)

Re: 31-03-2014 m.b.t. Linux melding van Security NL

Berichtdoor HWE64 » Wo 03 Apr 2024, 12:25

@JanKol, kun misschien de datum veranderen in dit topic. Geeft misschien verwarring.
Niet panikeren, er is een Mintforum

1] LM 21.3 Xfce (Desktop hoofd pc). 2] LMDE 6 Xfce/LM 21.3 Xfce Clevo laptop). 3] LMDE 6 Xfce (Dell Laptop). 4] LMDE 6 Xfce/LM 21.3 Xfce(HP Desk test pc). 5] Xubuntu 22.04.3 Xfce (Dell desktop). 6] W10 Dell desktop
Gebruikersavatar
Pjotr
Held
Held
Berichten: 514
Lid geworden op: Zo 03 Jan 2016, 15:44

Re: 31-03-2014 m.b.t. Linux melding van Security NL

Berichtdoor Pjotr » Wo 03 Apr 2024, 18:06

Tip: doe deze 10 dingen direct na installatie van Linux Mint 21.3 Virginia
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
stegiman
Moderator
Moderator
Berichten: 1625
Lid geworden op: Zo 17 Nov 2019, 15:12

Re: 31-03-2014 m.b.t. Linux melding van Security NL

Berichtdoor stegiman » Wo 03 Apr 2024, 23:35

Als je goed gelezen had zou je merken dat NZ versie lager is.
Bij LMDE 6 is dat versie 5.4.1

Ik heb altijd de vraag gesteld of elke nieuwe update wel gecontroleerd wordt op hack.
Dus ben ik niet blind geweest dat ik iets merkte.

Onlangs viel mij op dat stacer meer doet dan voor wat het bedoeld is.
Toen ik dat verwijderde stopte het probleem.
Ik had dat stacer maar een keer gebruik maar was dat ondertussen vergeten tot ik weer aan dacht.

Zo zijn er nog andere app waarvan ik de naam vergeten ben die veel meer doet dan het is.

Terug naar “Linux”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast