В пакете xz-utils (или libxz) был обнаружен бэкдор, который
потенциально может поставить под угрозу вход в систему SSH в
системах Linux. Самый подробный анализ на данный момент,
по-видимому, был проведен Андресом Фройндом из списка oss-security
. https://www.openwall.com/lists/oss-security/2024/03/29/4Архив-архивы xz версии 5.6.0 от конца февраля и 5.6.1 от 9 марта содержат вредоносный код. Пара сжатых файлов в репозитории содержит большую часть вредоносного патча, замаскированного под тестовые файлы. На практике это означает, что просмотр репозитория не обнаруживает ничего плохого, но загрузка архивов релиза дает вам скомпрометированный код.
Это было обнаружено потому, что вход в систему по SSH на sid Debian занимал больше времени и требовал больше циклов ЦП, чем ожидалось. И что интересно, Valgrind выдавал неожиданные ошибки при работе с библиотекой liblzma. Это было впервые обнаружено 24 февраля, сразу после выпуска 5.6.0. Пакет xz-utils не прошел тестирование на сборках Gentoo.
Один из сопровождающих xz, Цзя Тан, высказал мнение об этой ошибке Gentoo, предположив, что это ошибка GCC, вызывающая ошибки Valgrind. Это тот же разработчик, который распространял вредоносные архивные файлы и выпускал испорченные выпуски. И, как бы для того, чтобы прояснить все оставшиеся сомнения, разработчик удвоил коммит на GitHub, обработав ошибки Valgrind и ссылаясь на совершенно несвязанный отчет об ошибке GCC, утверждая, что это именно эта проблема.
На данный момент единственный разумный вывод заключается в том, что человек, контролирующий учетную запись JiaT75 GitHub, является злоумышленником и совершенно не заслуживает доверия. Неясно, является ли это тем же разработчиком, который поддерживает проект с августа 2022 года. Вполне возможно, что эта учетная запись полностью скомпрометирована.
А как насчет SSH?
Что может быть неясно, так это подключение к SSH. Это целое путешествие. Многие дистрибутивы Linux исправляют sshd для добавления функций systemd, а libsystemd использует библиотеку liblzma. Это означает, что код инициализации liblzma запускается при запуске sshd. Во вредоносном коде библиотека проверяет argv[0] на наличие /usr/bin/sshd. Кроме того, похоже, он проверяет наличие таких инструментов отладки, как rr и gdb. Если условия соблюдены, liblzma заменяет несколько вызовов функций собственным кодом. Это сложный танец с бубном, но эксплойт специально предназначен для замены RSA_public_decrypt.
Это очень интересная функция для подмены, поскольку это одна из функций, используемых для проверки ключей SSH. Несложно представить, как вредоносный код может проверять магическую подпись и обходить обычный процесс входа в систему. Полный анализ все еще проводится.
Но суть в том, что машина с исправленным двоичным файлом sshd, на которой также есть пакеты xz версии 5.6.0 или 5.6.1, уязвима для неаутентифицированного входа в систему SSH. Хорошей новостью является то, что лишь несколько дистрибутивов поставляют серию пакетов xz 5.6.x. Fedora Rawhide/41, а также Debian Testing и Unstable также предоставили эти версии. Если вы используете уязвимый пакет, немедленно обновитесь. У Debian вышла версия без эксплоита под версией 5.6.1+really5.4.5-1.
Пока неясно, каков дальнейший путь проекта xz. Очевидно, что это важная системная утилита для систем Linux, и ее нынешние сопровождающие, похоже, спят за рулем или намеренно направляются к катастрофе. Ожидайте одного или нескольких хард-форков, а затем много работы по очистке.
Подправленный перевод с https://hackaday.com/2024/03/29/security-alert-potential-ssh-backdoor-via-liblzma/.
som1usabl (31.03.2024 12:35, просмотров: 533)