Новый анализ показал, что вредоносный код, вставленный в библиотеку XZ Utils с открытым исходным кодом, широко используемый пакет, присутствующий в основных дистрибутивах Linux, также способен облегчать удаленное выполнение кода.
Дерзкая компрометация цепочки поставок, отслеживаемая как CVE-2024-3094 (оценка CVSS: 10.0), обнаружилась на прошлой неделе, когда инженер Microsoft и разработчик PostgreSQL Андрес Фройнд предупредил о присутствии бэкдора в утилите сжатия данных, которая дает удаленным злоумышленникам возможность обойти аутентификацию secure shell и получить полный доступ к уязвимой системе.
XZ Utils - это инструмент командной строки для сжатия и распаковки данных в Linux и других Unix-подобных операционных системах.
Утверждается, что вредоносный код был намеренно внедрен одним из сопровождающих проекта по имени Цзя Тан (он же Цзя Чонг Тан или JiaT75) в ходе, по-видимому, тщательной атаки, длящейся несколько лет. Учетная запись пользователя GitHub была создана в 2021 году. Личность участника (ов) в настоящее время неизвестна.
"Субъект угрозы начал вносить свой вклад в проект XZ почти два года назад, постепенно завоевывая доверие, пока на него не были возложены обязанности сопровождающего", - говорится в отчете Akamai.
В качестве еще одного акта умной социальной инженерии, учетные записи sockpuppet, такие как Джигар Кумар и Деннис Энс, предположительно использовались для отправки запросов функций и сообщений о различных проблемах в программном обеспечении, чтобы заставить первоначального сопровождающего – Лассе Коллина из проекта Tukaani – добавить в репозиторий нового со-сопровождающего.
Представьте Цзя Тана, который внес серию изменений в XZ Utils в 2023 году, которые в конечном итоге привели к выпуску версии 5.6.0 в феврале 2024 года. У них также был сложный бэкдор.
Источник: Thomas Roccia
"Как я намекал в предыдущих электронных письмах, Цзя Тан может играть большую роль в проекте в будущем", - сказал Коллин в разговоре с Кумаром в июне 2022 года.
"Он много помогал вне списка и уже практически является одним из сопровождающих.
Я знаю, что в репозитории git пока мало что произошло, но все происходит небольшими шагами. В любом случае, некоторые изменения в системе сопровождения уже происходят, по крайней мере, для XZ Utils."
Бэкдор влияет на архивы XZ Utils версий 5.6.0 и 5.6.1, последний из которых содержит улучшенную версию того же импланта. С тех пор Коллинз признал нарушение проекта, заявив, что оба архива были созданы и подписаны Цзя Таном и что у них был доступ только к теперь отключенному репозиторию GitHub.
"Очевидно, что это очень сложная операция, спонсируемая государством, с впечатляющей сложностью и многолетним планированием", - заявила компания Binarly, занимающаяся обеспечением безопасности встроенного программного обеспечения. "Такая сложная и профессионально разработанная комплексная платформа имплантации разработана не для одноразовой операции".
Более глубокое изучение бэкдора криптографом с открытым исходным кодом Филиппо Вальсордой также показало, что затронутые версии позволяют определенным удаленным злоумышленникам отправлять произвольные полезные данные через SSH-сертификат, который будет выполняться способом, обходящим протоколы аутентификации, эффективно перехватывая контроль над машиной жертвы.
"Создается впечатление, что бэкдор добавлен к SSH-демону на уязвимом компьютере, позволяя удаленному злоумышленнику выполнять произвольный код", - сказал Акамаи. "Это означает, что любая машина с уязвимым пакетом, которая предоставляет доступ к Интернету по SSH, потенциально уязвима".
Другими словами, бэкдор позволяет удаленному злоумышленнику с заранее определенным закрытым ключом перехватить SSH-демон для выполнения вредоносных команд.
Излишне говорить, что случайное обнаружение Freund является одной из наиболее значительных атак в цепочке поставок, обнаруженных на сегодняшний день, и могло бы привести к серьезному сбою в системе безопасности, если бы пакет был интегрирован в стабильные версии дистрибутивов Linux.
"Наиболее примечательной частью этой атаки по цепочке поставок является чрезвычайный уровень преданности делу злоумышленника, который более двух лет работает над тем, чтобы зарекомендовать себя в качестве законного сопровождающего, предлагая работу в различных проектах OSS и распространяя код по нескольким проектам, чтобы избежать обнаружения", - сказал Джфрог.
Как и в случае с Apache Log4j, этот инцидент еще раз подчеркивает зависимость от программного обеспечения с открытым исходным кодом и проектов, выполняемых добровольцами, и последствия, которые могут возникнуть, если они будут скомпрометированы или будут иметь серьезную уязвимость.
"Большее "исправление" заключается в том, что организации должны внедрять инструменты и процессы, позволяющие им выявлять признаки взлома и вредоносные функции как в коде с открытым исходным кодом, так и в коммерческом коде, используемом в их собственном конвейере разработки", - сказал ReversingLabs.
Дерзкая компрометация цепочки поставок, отслеживаемая как CVE-2024-3094 (оценка CVSS: 10.0), обнаружилась на прошлой неделе, когда инженер Microsoft и разработчик PostgreSQL Андрес Фройнд предупредил о присутствии бэкдора в утилите сжатия данных, которая дает удаленным злоумышленникам возможность обойти аутентификацию secure shell и получить полный доступ к уязвимой системе.
XZ Utils - это инструмент командной строки для сжатия и распаковки данных в Linux и других Unix-подобных операционных системах.
Утверждается, что вредоносный код был намеренно внедрен одним из сопровождающих проекта по имени Цзя Тан (он же Цзя Чонг Тан или JiaT75) в ходе, по-видимому, тщательной атаки, длящейся несколько лет. Учетная запись пользователя GitHub была создана в 2021 году. Личность участника (ов) в настоящее время неизвестна.
"Субъект угрозы начал вносить свой вклад в проект XZ почти два года назад, постепенно завоевывая доверие, пока на него не были возложены обязанности сопровождающего", - говорится в отчете Akamai.
В качестве еще одного акта умной социальной инженерии, учетные записи sockpuppet, такие как Джигар Кумар и Деннис Энс, предположительно использовались для отправки запросов функций и сообщений о различных проблемах в программном обеспечении, чтобы заставить первоначального сопровождающего – Лассе Коллина из проекта Tukaani – добавить в репозиторий нового со-сопровождающего.
Представьте Цзя Тана, который внес серию изменений в XZ Utils в 2023 году, которые в конечном итоге привели к выпуску версии 5.6.0 в феврале 2024 года. У них также был сложный бэкдор.
Источник: Thomas Roccia
"Как я намекал в предыдущих электронных письмах, Цзя Тан может играть большую роль в проекте в будущем", - сказал Коллин в разговоре с Кумаром в июне 2022 года.
"Он много помогал вне списка и уже практически является одним из сопровождающих.
Я знаю, что в репозитории git пока мало что произошло, но все происходит небольшими шагами. В любом случае, некоторые изменения в системе сопровождения уже происходят, по крайней мере, для XZ Utils."Бэкдор влияет на архивы XZ Utils версий 5.6.0 и 5.6.1, последний из которых содержит улучшенную версию того же импланта. С тех пор Коллинз признал нарушение проекта, заявив, что оба архива были созданы и подписаны Цзя Таном и что у них был доступ только к теперь отключенному репозиторию GitHub.
"Очевидно, что это очень сложная операция, спонсируемая государством, с впечатляющей сложностью и многолетним планированием", - заявила компания Binarly, занимающаяся обеспечением безопасности встроенного программного обеспечения. "Такая сложная и профессионально разработанная комплексная платформа имплантации разработана не для одноразовой операции".
Более глубокое изучение бэкдора криптографом с открытым исходным кодом Филиппо Вальсордой также показало, что затронутые версии позволяют определенным удаленным злоумышленникам отправлять произвольные полезные данные через SSH-сертификат, который будет выполняться способом, обходящим протоколы аутентификации, эффективно перехватывая контроль над машиной жертвы.
"Создается впечатление, что бэкдор добавлен к SSH-демону на уязвимом компьютере, позволяя удаленному злоумышленнику выполнять произвольный код", - сказал Акамаи. "Это означает, что любая машина с уязвимым пакетом, которая предоставляет доступ к Интернету по SSH, потенциально уязвима".
Другими словами, бэкдор позволяет удаленному злоумышленнику с заранее определенным закрытым ключом перехватить SSH-демон для выполнения вредоносных команд.
Излишне говорить, что случайное обнаружение Freund является одной из наиболее значительных атак в цепочке поставок, обнаруженных на сегодняшний день, и могло бы привести к серьезному сбою в системе безопасности, если бы пакет был интегрирован в стабильные версии дистрибутивов Linux.
"Наиболее примечательной частью этой атаки по цепочке поставок является чрезвычайный уровень преданности делу злоумышленника, который более двух лет работает над тем, чтобы зарекомендовать себя в качестве законного сопровождающего, предлагая работу в различных проектах OSS и распространяя код по нескольким проектам, чтобы избежать обнаружения", - сказал Джфрог.
Как и в случае с Apache Log4j, этот инцидент еще раз подчеркивает зависимость от программного обеспечения с открытым исходным кодом и проектов, выполняемых добровольцами, и последствия, которые могут возникнуть, если они будут скомпрометированы или будут иметь серьезную уязвимость.
"Большее "исправление" заключается в том, что организации должны внедрять инструменты и процессы, позволяющие им выявлять признаки взлома и вредоносные функции как в коде с открытым исходным кодом, так и в коммерческом коде, используемом в их собственном конвейере разработки", - сказал ReversingLabs.
