Κερκόπορτα που εντοπίστηκε σε εφαρμογή του Linux σπάει κρυπτογραφημένες συνδέσεις SSH

[Axlmon]

Εδώ και περισσότερο από ένα μήνα κυκλοφορεί ο κακόβουλος κώδικας που εντοπίστηκε σε εφαρμογή συμπίεσης δεδομένων.

Ερευνητές εντόπισαν κερκόπορτα σε εφαρμογή συμπίεσης δεδομένων, η οποίο εισχώρησε σε δημοφιλείς διανομές του Linux, μεταξύ των οποίων η Red Hat και η Debian.

Η εφαρμογή, με την επωνυμία xz Utils, εισήγαγε τον κακόβουλο κώδικα στις εκδόσεις 5.6.0 και 5.6.1., σύμφωνα με τον Άντερς Φρόιντ, το developer που αποκάλυψε το πρόβλημα. Δεν έχει αναφερθεί η χρησιμοποίηση των εκδόσεων αυτών σε διανομές του Linux που να διατέθηκαν ως σταθερές, όμως τόσο η Red Hat όσο και η Debian ενημέρωσαν ότι πρόσφατες δοκιμαστικές διανομές τους ενσωμάτωναν τουλάχιστον μία από τις επίμαχες εκδόσεις: συγκεκριμένα, στις μη σταθερές και πειραματικές διανομές των Fedora Rawhide και Debian. Έχει επηρεαστεί επίσης σταθερή διανομή του Arch Linux. Η συγκεκριμένη διανομή, όμως, δεν χρησιμοποιείται σε συστήματα παραγωγής.

Καθώς η κερκόπορτα εντοπίστηκε πριν ενσωματωθούν οι κακόβουλες εκδόσεις του xz Utils σε διανομές του Linux που θα χρησιμοποιούνταν κανονικά, η κατάσταση αυτή "ουσιαστικά δεν επηρεάζει κανέναν στον έξω κόσμο", ανέφερε ο Γουίλ Ντόρμαν, αναλυτής στην εταιρία ασφαλείας Analygence, σε διαδικτυακή του συνέντευξη. "Όμως, αυτό οφείλεται αποκλειστικά και μόνο στο ότι εντοπίστηκε νωρίς, χάρη στην απροσεξία του κακόβουλου παράγοντα. Αν δεν είχε εντοπιστεί, θα είχε καταστροφική επίδραση στον κόσμο".

Σειρά εφαρμογών που περιλαμβάνονται στην εφαρμογή διαχείρισης πακέτων HomeBrew για macOS βασίζονταν στην προβληματική έκδοση 5.6.1. του xzUtils. Η εφαρμογή έχει επανέλθει ήδη στην έκδοση 5.4.6. Αναλυτικότερες πληροφορίες υπάρχουν εδώ.

Τα πρώτα σημάδια της κερκόπορτας εντοπίστηκαν στην ενημέρωση της 23ης Φεβρουαρίου, οπότε προστέθηκε συγκεχυμένος κώδικας, ανέφεραν αρμόδιοι της Red Hat. Η ενημέρωση της επόμενης ημέρας περιλάμβανε κακόβουλο κώδικα εγκατάστασης ο οποίος παρενέβαινε σε λειτουργείες του sshd, του δυαδικού αρχείου που επιτρέπει τη λειτουργία του SSH. Ο κακόβουλος κώδικας υπήρχε μόνο σε αρχειοθετημένες διανομές, τις λεγόμενες tarballs. Ο GIT κώδικας, που είναι διαθέσιμος σε αποθήκες κώδικα δεν επηρεάζεται, αν και περιέχει δευτέρου σταδίου artifacts που επιτρέπουν την εισαγωγή του κακόβουλου κώδικα. Στην περίπτωση που ο συγκεχυμένος κώδικας που εισήχθη στις 23 Φεβρουαρίου είναι παρών, τα artifacts στη GIT έκδοση επιτρέπουν στην κερκόπορτα να λειτουργήσει.

Τις κακόβουλες αλλαγές υπέβαλλε ο χρήστης JiaT75, ένας από τους δύο βασικούς developer του xz Utils, με πολύχρονη συνεισφορά στο έργο.

"Δεδομένης της δραστηριότητας που καταγράφηκε τις τελευταίες εβδομάδες, [ο χρήστης] είτε εμπλέκεται άμεσα, είτε υπήρξε κάποια πολύ σοβαρή παραβίαση του συστήματός του", αναφέρει ο Φρόιντ. "Δυστυχώς, το δεύτερο ενδεχόμενο φαντάζει λιγότερο πιθανό, δεδομένου του ότι υπήρξε επικοινωνία [του χρήστη] σε διάφορες λίστες σχετικά με τις 'διορθώσεις'" που επέφεραν οι πρόσφατες ενημερώσεις.

Οι χρήστες που συμμετέχουν στη συντήρηση της εφαρμογής xz Utils δεν απάντησαν άμεσα σε email που έθεταν ερωτήματα σχετικά με το τι είχε συμβεί.

Οι κακόβουλες εκδόσεις, όπως ανέφεραν ερευνητές, εσκεμμένα παρεμβαίνουν στη διαδικασία επικύρωσης του SSH, ενός πρωτοκόλλου που χρησιμοποιείται συχνά για την απομακρυσμένη σύνδεση με συστήματα. Το SSH προσφέρει στιβαρή κρυπτογράφηση, διασφαλίζοντας ότι μόνο εξουσιοδοτημένοι λογαριασμοί μπορούν να συνδεθούν σε ένα απομακρυσμένο σύστημα. Η κερκόπορτα είναι σχεδιασμένη έτσι ώστε να επιτρέπει σε έναν κακόβουλο χρήστη να διεισδύσει σε ολόκληρο το σύστημα, σπάζοντας την κρυπτογράφηση. Αυτό συμβαίνει καθώς η κερκόπορτα εισάγει κώδικα στη διάρκεια μιας καθοριστικής φάσης της διαδικασίας σύνδεσης.

Σε ορισμένες περιπτώσεις, η κερκόπορτα δεν λειτούργησε έτσι όπως ήταν σχεδιασμένη. Το περιβάλλον της διανομής Fedora 40, λόγου χάρη, περιλαμβάνει ασυμβατότητες που εμποδίζουν τη σωστή εισαγωγή του κακόβουλου κώδικα. Ήδη, η διανομή έχει επιστρέψει στις εκδόσεις 5.4.x της εφαρμογής xz Utils.

Η εφαρμογή αυτή είναι διαθέσιμη για τις περισσότερες από τις διανομές του Linux, όμως δεν την περιλαμβάνουν όλες. Όσοι χρησιμοποιούν Linux καλό θα ήταν να ελέγξουν άμεσα τη διανομή τους, ώστε να δουν αν επηρεάζεται το σύστημά τους. Ο Φρόιντ, στη σελίδα όπου περιγράφει αναλυτικά το πρόβλημα, περιλαμβάνει και script που εντοπίζει αν ένα σύστημα SSH έχει καταστεί ευάλωτο. 

Διαβάστε ολόκληρο το άρθρο

[NiKoSmile]

Βάλτε Windows 😃

[chek2fire]

η τελευταία έκδοση του Ubuntu δεν επηρεάζεται καθώς έχει την έκδοση 5.4.1

[georgiosmix]

Περιμένοντας τα σχόλια που θα δώσουν νόημα στην Κυριακή μας !

[amigagr]

[lbit]

All about the xz-utils backdoor

[Kercyn]

[deathleader]

το παραπάνω κείμενο δυσκολεύτηκα να το διαβάσω έτσι όπως έχει συνταχθεί!

[Bourdoulas]

Κερκόπορτα 😂😂😂😂

[Luciddream]

Το Arch παίρνει updates εδώ και 2 χρόνια από το συγκεκριμένο πακέτο... θεωρητικά μπορεί να έχουν γίνει άπειρα πράγματα που δεν θα τα μάθουμε ποτέ.. επίσης εδώ φαίνεται πόσο hobby διανομή είναι το Arch.. 2 μέρες μετά και ούτε μια έρευνα στο τι έχει γίνει τόσα χρόνια δεν έχουν κάνει. Προσωπικά έχασα οποιοδήποτε trust στο Linux community μετά από το συγκεκριμένο.. σίγουρα θα κάνω format, θα αλλάξω SSH keys, κωδικούς, και θα βάλω firewall τουλάχιστον από εδώ και πέρα, και λίγα λέω. Μερικές φορές πρέπει να πάθεις για να μάθεις.. Εδώ φάνηκε ότι το Network of Trust που μας λέει ο Linus δεν δουλεύει έτσι απλά.. χρειάζονται ριζικές αλλαγές στο πως λειτουργούν οι διανομές και το packaging.

[JPaxilleas]

Πιο σωστά δε θα μπορούσαν να ειπωθούν κάποια πράγματα για τις διανομές Linux και το σχετικό vulnerability (αδυναμία) οπότε με βρίσκεις σύμφωνο. Από την άλλη δεν είμαι υπέρ των χαρακτηρισμών "για τα πανηγύρια". Ένα απλό άρθρο είναι για ένα συγκεκριμένο θέμα. Εάν έχει ανακρίβειες ή δεν είναι καλό ή τέλος πάντων έχει λάθη και κάποιος μπορεί να παρέχει περισσότερες πληροφορίες, αυτό είναι επιθυμητό και πάνω από όλα χρήσιμο (όπως έγινε με την τκεμηριωμένη απάντηση που δόθηκε που και πάλι λείπουν όλες οι πληροφορίες όπως σωστά αναφέρθηκε για την πλήρη αξιολόγηση της αναφερθείσας αδυναμίας). Ειδικά για κάποιον που δε τα γνωρίζει όλα (π..χ για Linux ή για πρωτόκολλα ελέγχου ταυτότητας και κρυπτογράφησης δεδομένων μεταξύ συστημάτων) ή δεν είναι τόσο εξοικειωμένος. Παράλληλα, οι όποιες παρατηρήσεις ή διορθώσεις, αυτό το σκοπό έχουν και παράλληλα δεν πρέπει να αποτελούν και ευκαιρία βελτίωσης για τον όποιο γράφει άρθρα (αρκεί να υπάρχει καλή διάθεση και η κατανόηση);       

[korakios]

21 λεπτά πριν, Luciddream είπε

Προσωπικά έχασα οποιοδήποτε trust στο Linux community μετά από το συγκεκριμένο.. σίγουρα θα κάνω format, θα αλλάξω SSH keys, κωδικούς, και θα βάλω firewall τουλάχιστον από εδώ και πέρα, και λίγα λέω. Μερικές φορές πρέπει να πάθεις για να μάθεις..

είσαι σίγουρος οτι έπαθες κάτι ? σα να μην κατάλαβες το άρθρο μου φαίνεται

[Luciddream]

5 minutes ago, korakios said:

είσαι σίγουρος οτι έπαθες κάτι ? σα να μην κατάλαβες το άρθρο μου φαίνεται

Δεν το διάβασα καν το άρθρο, παρακολουθώ το θέμα από την στιγμή που τελείωσε το embargo.. και είμαι από αυτούς που σίγουρα είχαν το πακέτο στον υπολογιστή τους για 1 μήνα. Το ότι βρέθηκε τυχαία 2 χρόνια μετά κάτι ότι συνέβαινε δεν σημαίνει ότι τόσα χρόνια δεν γινόντουσαν άλλα πράγματα. Έτσι και αλλιώς ότι γινόταν ήταν κρυμμένο μέσα στο binary και όχι στο source code. Το liblzma χρησιμοποιείται και απο browsers θα μπορούσε να γίνει exploit με οποιονδήποτε τρόπο. Μπορεί και να είμαστε safe, αλλά και αυτό από τύχη θα είναι. Είχα καιρό στο μυαλό μου να στήσω καλύτερο security για το σπίτι και τον server μου αλλά το συγκεκριμένο γεγονός με ξύπνησε. Εκτός ότι είχα το πακέτο και δούλευα τον τελευταίο μήνα project και βάσεις της δουλειάς από το Linux μου, έχω και προσωπικά πράγματα, δηλαδή αν είναι να το παίρνουμε τόσο χαλαρά, να το καταργήσουμε τελείως το security. Τους πιάσανε όλους στον ύπνο, εταιρίες δισεκατομμυρίων που οι χρήστες εμπιστευόμαστε υποτίθεται.

[korakios]

Μόλις τώρα, Luciddream είπε

Δεν το διάβασα καν το άρθρο,

όταν το διαβάσεις ξαναπόσταρε

[Luciddream]

1 minute ago, korakios said:

όταν το διαβάσεις ξαναπόσταρε

Το διάβασα, δεν άλλαξε κάτι