Backdoor XZ: "Đây không phải là vượt qua xác thực mà là RCE, có cổng kích hoạt và không thể phát lại."

Phân tích backdoor xz

• Filippo Valsorda đã quan sát một số người đảo ngược kỹ thuật backdoor xz và chia sẻ kết quả phân tích ban đầu.
• Hook RSA_public_decrypt xác minh chữ ký của một khóa Ed448 cố định đối với khóa máy chủ của server, rồi chuyển payload vào hệ thống.
• Đây không phải là vượt qua xác thực mà là thực thi mã từ xa (RCE), chỉ có thể dùng một lần và không thể phát lại.

Tấn công chuỗi cung ứng

• Đây có thể là cuộc tấn công chuỗi cung ứng được thực hiện tốt nhất từng được mô tả công khai, diễn ra trong upstream chính thức của một thư viện được dùng rộng rãi, với tính chất ác ý và năng lực kỹ thuật cao.
• Có vẻ cuộc tấn công này được phát hiện một cách tình cờ, và người ta tự hỏi nếu không như vậy thì sẽ mất bao lâu mới bị phát hiện.

Trích xuất và xác minh payload

• Payload được trích xuất từ giá trị N (khóa công khai) được truyền vào RSA_public_decrypt, được kiểm tra bằng một dấu vân tay đơn giản, rồi được giải mã bằng một khóa ChaCha20 cố định trước khi xác minh chữ ký Ed448.

Hàm RSA_public_decrypt

• RSA_public_decrypt thực hiện chức năng xác minh chữ ký, dù tên gọi có thể nghe hơi lạ.
• Việc xác minh chữ ký RSA thực hiện cùng phép toán như mã hóa RSA.

Chứng chỉ OpenSSH và quyền kiểm soát của kẻ tấn công

• Khóa công khai RSA_public_decrypt có thể bị kẻ tấn công kiểm soát trước khi xác thực bằng cách dùng chứng chỉ OpenSSH.
• Chứng chỉ OpenSSH chứa khóa công khai của bên ký, và OpenSSH kiểm tra chữ ký trong quá trình phân tích cú pháp.

Script truyền khóa công khai tùy chỉnh tới hệ thống có backdoor

• Thông qua script do Keegan Ryan viết, có thể sử dụng hàm hook để đưa khóa công khai tùy chỉnh vào chứng chỉ và làm cho nó đến được hệ thống có backdoor.

Cơ chế an toàn của backdoor

• Backdoor sẽ quay về hoạt động bình thường nếu payload không hợp lệ hoặc chữ ký bằng khóa của kẻ tấn công không được xác minh.
• Điều này có nghĩa là, trừ khi phát hiện được lỗi, không thể viết một trình quét đáng tin cậy và có thể tái sử dụng qua mạng.

Ý kiến của GN⁺

• Những backdoor như vậy là mối đe dọa nghiêm trọng đối với an ninh hệ thống, đặc biệt khi chúng được cài vào các thư viện được sử dụng rộng rãi thì tác động còn lớn hơn.
• Việc cuộc tấn công được phát hiện một cách tình cờ cho thấy điểm yếu của các hệ thống bảo mật và nhấn mạnh tầm quan trọng của việc giám sát, kiểm toán liên tục.
• Bài viết này có thể giúp nâng cao nhận thức về độ an toàn của chuỗi cung ứng phần mềm, đồng thời cảnh báo cho các nhà phát triển và quản trị viên hệ thống.
• Để ứng phó với các mối đe dọa bảo mật như backdoor, nên sử dụng các công cụ bảo mật mã nguồn mở hoặc trình quét lỗ hổng. Ví dụ, các công cụ như OWASP ZAP hoặc Nessus có thể hữu ích.
• Khi áp dụng công nghệ mới hoặc mã nguồn mở mới, cần rà soát kỹ lưỡng về mặt bảo mật và thực hiện các biện pháp phù hợp để bảo vệ hệ thống trước những cuộc tấn công như vậy.