Tập lệnh shell của cuộc tấn công xz
- Andres Freund đã công bố sự tồn tại của cuộc tấn công xz vào ngày 29 tháng 3 năm 2024.
- Cuộc tấn công được chia thành hai phần: tập lệnh shell và tệp đối tượng.
- Tập lệnh shell thêm tệp đối tượng vào bản dựng trong quá trình
make.
- Tệp đối tượng độc hại và mã shell được thêm vào sau khi được nén và mã hóa, ngụy trang thành "đầu vào kiểm thử".
Cấu trúc
xz-utils sử dụng GNU autoconf để xác định cách xây dựng phù hợp với hệ thống.- Kẻ tấn công đã thêm một thư viện hỗ trợ không được dự đoán trước vào bản phân phối tarball.
- Thư viện hỗ trợ này chứa mã độc hại.
Xem lại cấu trúc
- Thư viện hỗ trợ do kẻ tấn công thêm vào sẽ tìm các mẫu cụ thể và cấu hình tệp tương ứng.
- Tập lệnh này phát hiện tệp độc hại và thực thi tệp đó để chèn mã shell.
Thực thi tập lệnh shell
- Tập lệnh shell độc hại chỉ được thực thi trong môi trường cần thiết sau khi trải qua nhiều bước kiểm tra.
- Tập lệnh thêm nhiều dòng vào Makefile để chèn mã độc hại vào quá trình xây dựng.
Ý kiến của GN⁺
- Cuộc tấn công này phơi bày các lỗ hổng bảo mật của phần mềm nguồn mở, và các nhà phát triển cần nhận thức được tầm quan trọng của việc rà soát mã và kiểm toán bảo mật.
- Phương thức tấn công này là một ví dụ về tấn công chuỗi cung ứng phần mềm, và cần có các biện pháp để ngăn chặn những cuộc tấn công như vậy.
- Bài viết này có thể nâng cao cảnh giác cho các nhà phát triển bằng cách cho thấy phương pháp tấn công lợi dụng độ phức tạp của tập lệnh shell và hệ thống build.
- Từ góc nhìn phê phán, những cuộc tấn công như vậy có thể làm dấy lên nghi vấn về độ tin cậy của các dự án nguồn mở.
- Dựa trên kiến thức trong lĩnh vực liên quan, bài viết này nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật trong quá trình phát triển và phân phối phần mềm.
Chưa có bình luận nào.