Архив метки: XZUtils

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Добавить комментарий

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера.

🔹 "Кто-то ещё пользуется DAEMON Tools?! О_о"

Тут дело-то, конечно, не в DAEMON Tools как таковом, а в культуре потребления программных продуктов в принципе. Существует масса сверхпопулярного софта, разрабатываемого непонятно кем. Вот тот же DAEMON Tools - это поделие то ли латышской, то ли гонконгской компании. Что это вообще за компания, что там за люди работают, насколько они ответственно относятся к безопасности своих продуктов? 🤷‍♂️ Непонятно. А Notepad++? Может, там вообще никакой компании нет, просто какой-то один разработчик с ментальными проблемами, передавший доступ к репозиторию какому-то левому анонимусу (как в инциденте с XZ Utils). И это только софт для конечных пользователей. Если посмотреть на то, кто контролирует зависимости для софта, то там вообще мрак. Неудивительно, что злоумышленники прочухали, что атаковать кустарей и получать доступ к их клиентам - это просто и суперэффективно. Поэтому таких supply chain-атак будет только больше. И это не изменится, пока не изменится неадекватно доверчивое отношение к софту. Пока пользователи не перестанут вестись на модные продукты (а программисты - на модные библиотеки и фреймворки) как Эллочка Людоедка на блестящее ситечко, полностью игнорируя соображения безопасности. Пока же, к сожалению, наблюдаю обратные тенденции.

🔹 "По исследованию ясно, что атака скорее была точечная, сиречь целенаправленная, так как заражено сравнительно немного машин, и часть пользователей задело по касательной."

Тут тоже не могу согласиться. Устройства всех пользователей, которые установили себе DAEMON Tools с малварью, были скомпрометированы. То, что не на всех устройствах, по мнению исследователей Kaspersky, злоумышленники устанавливали минималистичный бэкдор и QUIC RAT, - дело десятое. Никто не может гарантировать пользователям, что злоумышленники на системе не закрепились. Единственная рекомендация здесь может быть - вайпать машину и перенакатывать операционку, особенно в случае корпоративной среды.

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

1 комментарий

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая. Она в том, что работа сообществ, отвечающих за написание повсеместно используемого кода, строится на более инфантильных принципах, чем у детишек, которые строят замок в песочнице на детской площадке. За детишками в песочнице хотя бы приглядывают взрослые.

А здесь какие-то гики-бессребреники в каком-то листе рассылки как-то самоорганизауются и решают чудовищно замороченные технические вопросы, которые аффектят сотни миллионов людей. 🤷‍♂️ Кто эти гики, какая у них мотивация, насколько адекватны выбранные ими руководители сообществ? 🤔

Как пишут на OpenNetRu, бэкдор в XZ Utils предположительно внедрил разработчик, который за 2 года постепенно влился в проект, стал его мейнтейнером и основным контрибьютором. 😎 А предыдущего мейнтейнера загазлайтили с помощью троллей-виртуалов и он слился. 🤷‍♂️ В итоге бэкдор случайно нашёл сотрудник Microsoft и забил тревогу.

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

1 комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024-3094).

В постах Tenable и Qualys обновился список уязвимых дистрибов:

🔻 Fedora Rawhide
🔻 Fedora 40 Beta
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.
🔻 openSUSE Tumbleweed and openSUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Linux (xz-utils 5.6.0-0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1)
🔻 Arch Linux (details)

И список неуязвимых дистрибов:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable
🔹 Amazon Linux
🔹 SUSE Linux Enterprise and Leap
🔹 Gentoo Linux
🔹 Ubuntu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

1 комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblzma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedora Rawhide
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.

А эти точно неуязвимы:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable

Ссылка на исходное сообщение исследователя.

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

1 комментарий

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094). XZ Utils - это набор утилит-архиваторов, который может присутствовать в дистрибутивах Linux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷‍♂️ Норм так ушли на выходные называется. 😅

CISA рекомендует откатываться на 5.4.6 Stable.

Проверил на своей Ubuntu 23.10, что xz-utils здесь древнючие, версии 5.4.1-0.2. Живём. 🙂 RHEL-ы тоже не задеты.

Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Common Vulnerabilities and Exposures". Может это и не уязвимость, но точно экспозиция.

Интересно сколько подобных бэкдоров остаются незамеченными… 🙄