Xzbot: Ghi chú, honeypot và bản demo khai thác cho backdoor xz

 (github.com/amlweems)
1 điểm bởi GN⁺ 2024-04-02 | 1 bình luận | Chia sẻ qua WhatsApp

Khám phá backdoor xz (CVE-2024-3094)

  • honeypot: phát hiện các nỗ lực xâm nhập thông qua máy chủ giả mạo dễ bị tấn công
  • ed448 patch: vá liblzma.so để sử dụng khóa công khai ED448 riêng
  • backdoor format: định dạng payload của backdoor
  • backdoor demo: CLI kích hoạt RCE với giả định biết khóa riêng ED448

honeypot

  • Cung cấp một bản vá OpenSSH đơn giản ghi lại mọi nỗ lực kết nối có khóa công khai N khớp với định dạng backdoor
  • Các nỗ lực kết nối xuất hiện trong nhật ký sshd như sau

ed448 patch

  • Backdoor sử dụng khóa công khai ED448 được hardcode để xác minh chữ ký và giải mã payload
  • Thay khóa này bằng khóa của bạn thì có thể kích hoạt backdoor
  • Tải đối tượng dùng chung libxzma có chứa backdoor và chạy script vá để thay khóa

backdoor format

  • Có thể kích hoạt backdoor bằng cách kết nối qua chứng chỉ SSH và nhúng payload vào giá trị N của khóa ký CA
  • Payload này phải được mã hóa và ký bằng khóa ED448 của kẻ tấn công
  • Cấu trúc payload tuân theo định dạng đã nêu

backdoor demo

  • Cung cấp cách kết nối tới máy chủ SSH dễ bị tấn công và chạy lệnh id > /tmp/.xz
  • Có thể giám sát lời gọi system() trên máy chủ dễ bị tấn công và quan sát lệnh được thực thi
  • Cây tiến trình sshd bình thường và cây tiến trình thông qua backdoor có hình dạng khác nhau

Ý kiến của GN⁺

  • Bài viết này đi sâu vào lỗ hổng backdoor xz được gán mã CVE-2024-3094 và cung cấp thông tin rất hữu ích cho các nhà nghiên cứu bảo mật cũng như quản trị viên hệ thống.
  • Bằng cách đưa ra phương pháp phát hiện và ứng phó với backdoor, nội dung này có thể giúp bảo vệ các hệ thống dễ bị ảnh hưởng.
  • Vì các lỗ hổng như vậy có thể vượt qua các cơ chế bảo mật cốt lõi của hệ thống, các nhà phát triển phần mềm và chuyên gia bảo mật cần hiểu rõ loại lỗ hổng này và thực hiện biện pháp phòng ngừa.
  • Các công cụ hoặc dự án bảo mật khác cung cấp chức năng tương tự gồm có OpenSSH, Fail2Ban, Snort, và chúng có thể bổ sung thêm các lớp phòng thủ để bảo vệ hệ thống.
  • Bài viết cung cấp chi tiết kỹ thuật về một lỗ hổng mới, từ đó có thể hỗ trợ cộng đồng bảo mật xây dựng các chiến lược phòng thủ mạnh mẽ hơn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-04-02
Ý kiến trên Hacker News
  • Tóm tắt bình luận trên Hacker News:
    • Một nhận xét thú vị về lỗ hổng RCE (Remote Code Execution) đòi hỏi khóa riêng của kẻ tấn công. Đính chính: đã hiểu nhầm liên kết, giữ lại bình luận gốc để lưu hồ sơ.

      • Lỗ hổng này trớ trêu thay dường như được thiết kế với ý thức về bảo mật. Ngoài ra, có vẻ như người đã commit backdoor trong cùng chuỗi email đó gần đây cũng đã đóng góp cho kernel.

    • Sự ngưỡng mộ dành cho cộng đồng hacker, đặc biệt là amlweems, vì đã nhanh chóng triển khai và ghi chép POC (Proof of Concept). Đính chính: bước tiếp theo là tìm cách xác định các bản phân phối dễ bị ảnh hưởng và cách giám sát hoạt động probing tích cực nhắm vào máy chủ SSH.

      • Khen ngợi phản ứng và phân tích nhanh của cộng đồng.

    • Thắc mắc liệu POC đã được thử với các công cụ phát hiện hành vi bất thường (Carbon Black, AWS GuardDuty, SysDig, v.v.) hay chưa, và liệu nhờ đó nó có thể bị phát hiện nhanh hay không.

      • Sự tò mò về việc thử nghiệm POC với các công cụ phát hiện hành vi bất thường.

    • Nghi vấn liệu nó có hoạt động ngay cả khi không có kết nối SSH hay không. Danh sách chuỗi trên GitHub có chứa "DISPLAY""WAYLAND_DISPLAY".

      • Suy đoán về phạm vi ảnh hưởng bổ sung do sự hiện diện của các chuỗi không liên quan trực tiếp đến SSH.

    • Câu hỏi về việc không cần openssh.patch lúc chạy, và bằng cách nào liblzma.so.5.6.1 đã áp dụng bản vá vào openssh_RSA_verify khi được nạp vào bộ nhớ.

      • Câu hỏi kỹ thuật về quá trình khai thác lỗ hổng trong lúc chạy.

    • Việc một cuộc tấn công thành công không để lại log. Từ đó nảy sinh câu hỏi liệu kẻ tấn công có thể thực thi lệnh tùy ý mà không để lại log hay không.

      • Lo ngại về khả năng tấn công mà không tạo log.

    • Ý kiến về cách những người phụ trách các dự án xz, OpenSSH và Linux đã phản ứng với lỗ hổng này, cũng như cách có thể ngăn chặn các lỗ hổng tương tự trong tương lai.

      • Sự quan tâm đến phản ứng của những người phụ trách dự án và các biện pháp phòng ngừa trong tương lai.

    • Thảo luận về hoạt động gián điệp cấp quốc gia và backdoor. Mỹ có xu hướng ưu tiên can thiệp phần cứng, trong khi các nước khác như Israel tập trung vào backdoor phần mềm dài hạn.

      • Phân tích về chiến lược backdoor theo từng quốc gia.

    • Thắc mắc về lý do sử dụng ED448, dù thông thường curve 25519 được khuyến nghị.

      • Đặt câu hỏi về việc lựa chọn thuật toán mật mã cụ thể.