-
wholescape
- 628
- 2
- 0
- 0
-
- いいね!0
Tsukasa #01
@a4lg
Tsukasa OI (大居 司); アマチュア研究者 (情報セキュリティ、人文情報学、文献学) //// 共同研究者、所属先等の公式見解とは無関係。
Tsukasa #01
@a4lg
xz-utils のバックドアを読み進める。実際にはトリガーされない部分が多数存在し、その中になんか変に拡張性を重要視したような設計というのが含まれてるように見えるのも変に感じるところだね。
2024-04-01 14:18:36
Tsukasa #01
@a4lg
一応読んで納得できるところまで納得したので、…………隔離環境でバックドア生成をする条件をわざと踏んでみよう。少なくともバックドア生成部分そのものにはネットワークアクセスをするものは存在しないので大丈夫なはずだが、念のためコンテナのネットワークアクセスは切る。
2024-04-01 14:21:21
Tsukasa #01
@a4lg
OKOK。バックドアの入った liblzma\.so をビルドすることに成功。 もちろんやってて当然だとは思ってたが、悪意のあるオブジェクトファイルは、ビルドディレクトリには直接は残らない仕組みになっている (注: 間接的には残る)。
2024-04-01 14:55:31
Tsukasa #01
@a4lg
悪意あるファイルを展開した上で、本来含まれるべきオブジェクトファイルに悪意あるファイルをリンクした中間 .o ファイルを共有ライブラリ作成に利用させつつリンク元は削除しているので、悪意あるバイナリファイルを展開できてもそれと一致するバイナリファイル「自体」は見つからない。
2024-04-01 14:55:31
Tsukasa #01
@a4lg
が、通常ビルドでも存在する .o ファイルには悪意あるオブジェクトファイルがリンクされることになるので、当該ファイルのサイズ (加えて最終的な liblzma のサイズ) も大幅に大きくなる。
2024-04-01 14:55:32
Tsukasa #01
@a4lg
とりあえず、xz-utils のバックドアを確かめるには、主に次の条件を整えれば OK。 (1) ホストが Linux である (2) ビルドターゲットが x86_64 向け Linux である (3) CC が gcc、リンカが GNU ld であるなどの細かい (主要 Linux ディストリなら通常満たしている) 条件を満たす (4) xz が既にインストールされている (5) ソースディレクトリ内に debian/rules ファイルが存在する (Debian パッケージ想定、空ファイルだけで OK) か、あるいは環境変数 RPM_ARCH の値が x86_64 である (Red Hat パッケージ想定)。 これで、(5) の条件を変えることでビルド後の liblzma\.so のファイルサイズが 100KiB 近く変わるようなら、ほぼ間違いなく (1)-(4) の条件を満たした上でバックドアを最終的なバイナリに入れることに成功している。
2024-04-01 17:55:45
mattn
@mattn_jp
xz にバックドアを仕込んだ開発者、2年も掛けてテストコードの追加等の貢献で信頼を得つつバックドアを仕込んだという話を読んでマジかよとなってる。こえぇ。
2024-03-30 17:04:22
Torishima / INTP
@izutorishima
すごい、3年がかりで xz-utils に貢献して信頼を勝ち取った上でバックドアを仕込んだらしい エグすぎるだろ…… 見つけられたのは本当に偶然としか言いようがないし、もし Ubuntu とかまで回ってたら sshd 出してる全ての公開サーバーにパスワードなしでログインできることになって怖すぎる x.com/Blankwonder/st…
2024-03-30 15:23:59
Yachen Liu
@Blankwonder
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。 概括: 1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。 2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。 3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中) 4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd,使得攻击者可以构造特定请求,绕过密钥验证远程访问。 5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。 6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。 如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。 另外从一些细节能看出来攻击者非常用心: 1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。 2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。 更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。 参考来源: boehs.org/node/everythin… gist.github.com/thesamesam/223…
2024-03-30 12:55:26
Dai MIKURUBE
@dmikurube
すげえな。三年かけて信頼関係を築きバックドアを仕込む。千年かけて魔族を騙すような所業だけど、これくらいなら実際インセンティブあるよなあ… boehs.org/node/everythin…
2024-03-30 16:28:59
Rui Ueyama
@rui314
xzにバックドアが仕掛けられていたという怖い話、ついに具体的な事例が出てきたかーという感じ。 これ僕にとっては人ごとではなくて、moldなんかは結構価値の高い攻撃対象になり得るんですよね。どういう攻撃があり得るのかと、その対策を以前この動画で話しました。 youtube.com/watch?v=xH8eTh…
2024-03-30 11:09:11