https://www.ithome.com.tw/news/162040
使用SSHD連接到系統的用戶當心!因為駭客供應鏈攻擊鎖定XZ Utils庫植入隱密後門,多個Linux發行版受影響
研究人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門,同日Red Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分Debian版本受影響
今天週六早上,以揭露Exchange重大漏洞ProxyLogon聞名的臺灣資安研究人員Orange Tsai,還有其他國內資安社群成員,都在社群平臺發文針對一項關於SSHD(Secure Shell Daemon)的供應鏈攻擊提出探討與示警。
這是因為,有開發人員Andres Freund在3月29日於Openwall公布一起涉及SSH伺服器的供應鏈攻擊狀況,並指出問題出在XZ Utils資料壓縮程式庫被植入後門,另也說明Red Hat已將此漏洞指派為CVE-2024-3094,且給出CVSS v3風險層級滿分10分。
此事件影響廣泛,Andres Freund表示,他是在調查SSH登入變慢相關問題時,最初以為發現debian裡面的套件包被入侵,但事實上是來自上游的問題,XZ程式庫與XZ的tarball檔案被植入後門,也就是一樁軟體供應鏈攻擊事件。
這也再次顯現開源軟體供應鏈安全的重要性,目前已有許多研究人員正追查其攻擊手法,以及本次事件提交Commit的GitHub帳號,並指出其手法複雜且相當難以察覺。
關於此次後門的影響,在Red Hat發布的緊急安全通告中也有說明,惡意程式碼修改了XZ Utils套件中名為liblzma部分程式碼的功能,這也導致每一軟體連結到XZ Utils,並允許變更與程式庫一起使用的資料,都會受到影響。而Freund所觀察到的例子,在某些特定條件下,這個後門可讓攻擊者繞過SSHD的身分認證機制,進而針對受影響的系統做到未經授權的存取。
至於有哪些版本受影響,以XZ Utils資料壓縮程式庫而言,Andres Freund指出受影響的版本是XZ Utils的5.6.0和5.6.1;以其他使用XZ Utils的軟體系統而言,目前已確認多個多個Linux發行版本受影響,包括:Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed與openSUSE MicroOS,以及部分Debian版本。
美國CISA也已經對此提出警告,並建議建議開發人員與使用者可先將XZ Utils降級、恢復到未被入侵的版本,如XZ Utils 5.4.6穩定版。同時用戶也該進行事件回應、清查入侵狀況,以確定是否可能已經受到後門的影響。
個人積分:14766分
文章編號:89429378
XZ Utils Linux 後門背後的編碼員「Jia Tan」是誰?長期的進入計畫和後門的精心設計讓專家們一致認為「賈坦」可能不是一隻獨狼。安全研究員 Costin Raiu 告訴《Wired》雜誌,XZ Utils 攻擊比他以前見過的任何攻擊都要「狡猾」得多。
其他人調查了 Tan 提交代碼的時間。大多數上傳內容都與中國時區相關,而有一些(可能是無意的)位於中東或東歐,並且它們在中國的重要節日期間繼續工作。
四壞宇王俄支朝朗
個人積分:14766分
文章編號:89429427
XZ後門主謀 「Tan 賈坦」之謎
遭到挫敗的 XZ Utils 供應鏈攻擊是醞釀多年的。
現在,線索顯示民族或國家等級的駭客是插入惡意程式碼的幕後黑手。
禍害軟體供應鏈攻擊是一種日益常見的駭客技術,它將惡意程式碼隱藏在廣泛使用的合法程式中,可以採取多種形式。駭客可以滲透更新伺服器來傳播惡意軟體,甚至可以闖入開發軟體的網絡,從源頭破壞軟體。或者,對於一位名叫賈坦(Jia Tan)的特別陰險的軟體供應鏈攻擊者來說,他們可以花兩年的時間禮貌而熱情地自願提供幫助。
週末,網路安全和開源軟體社群震驚於這樣的消息:XZ Utils的一個相對較新的實驗版本(一種整合到許多流行的 Linux 發行版中的壓縮實用程式)包含一個後門,可以讓駭客擁有一個特定的私鑰連接到後門系統並以管理員身份執行自己的命令。只有一位Microsoft 工程師Andres Freund 進行的一些偶然的偵探工作——他發現了Linux 變體Debian 版本中遠端連接協議SSH 的運行方式出現了奇怪的延遲——在間諜伎倆最終被曝光之前,他發現了這一點。全球有數百萬個系統。
現在已經很清楚,XZ Utils 後門的插入者不是別人,正是 XZ Utils 的首席開源管理員,一位名叫 Jia Tan 的開發人員。後門被發現後,科技界仍然存在一個謎團:賈坦是誰,他或她——或者很可能——真正為誰工作?
Jia Tan 利用開源軟體的眾包方法進行編碼,任何人都可以對 GitHub 等程式碼儲存庫上的程式提出更改建議,這些變更在整合到軟體中之前會由其他編碼人員進行審核。回顧 Jia Tan在開源程式設計世界中的記錄歷史可以發現,他們首次出現於2021 年11 月,使用GitHub 用戶名JiaT75,然後使用Jia Tan(有時稱為Jia Cheong Tan)這個名字為其他開源專案做出了超過1 年的貢獻。開始提交 XZ Utils 的更改之前的一年。
到 2023 年 1 月,Jia Tan 的程式碼已整合到 XZ Utils 中。在接下來的一年裡,他們將從最初的維護者 Lasse Collin 手中接管該項目,這項變更部分是由少數用戶向 Collin 發送的抱怨更新緩慢的電子郵件推動的。 (這些用戶是否是不知情的同謀,或者實際上與賈坦合作說服科林放棄控制權,目前還不清楚。沒有一個用戶回复《連線》的評論請求。)最後,賈坦將他們的秘密後門添加到了XZ 的一個版本中今年二月實用。
這種非人性的耐心做法,加上後門本身的技術特點和複雜性,讓網路安全界的許多人相信,Jia Tan 實際上一定是由國家資助的駭客操縱的,而且是非常優秀的駭客。 「這種持續多年的行動非常狡猾,植入的後門具有令人難以置信的欺騙性,」直到去年才擔任俄羅斯網路安全公司卡巴斯基最高級研究員兼全球研究和分析團隊負責人的Costin Raiu 說。 “我想說,這是一個由民族國家支持的組織,有著長期目標,有能力投資於開源專案的多年滲透。”
至於哪個國家,拉尤列出了最常見的嫌疑犯:中國、俄羅斯和北韓。他說,現在確定真正的罪魁禍首還為時過早。 “有一點是肯定清楚的,”他補充道。 “這比我之前見過的所有軟體供應鏈攻擊都更加狡猾。”
一個非常私密、非常忙碌的程式設計師
自上週五 XZ Utils 後門曝光以來,圍繞 Jia Tan 的審查不斷加強,研究人員指出,該角色具有非常良好的操作安全性。獨立安全記者布萊恩·克雷布斯 (Brian Krebs)寫道,即使在搜索了被破壞的數據庫之後,他也可以在賈坦發送給其他開源貢獻者的消息之外找到賈坦電子郵件地址的「零痕跡」。 Jia Tan 似乎也透過具有新加坡 IP 位址的 VPN來路由他們的所有通訊。
SANS 的講師 Will Thomas 表示,缺乏與賈坦相關的任何其他在線存在,表明該帳戶是一個“單一目的的虛構角色”,並表明開發後門需要多麼複雜、耐心和思考。 Institute ,一家網路安全培訓公司。自從後門被發現後,Jia Tan 的角色就消失了,《連線》雜誌發送到與其關聯的 Gmail 地址的電子郵件也沒有得到回應。該公司發言人告訴《連線》雜誌,賈坦的 GitHub 帳戶已被暫停。
事實上,Jia Tan 留下的唯一真正的足跡似乎是他們對開源開發社區的貢獻,他們是一個多產的貢獻者:令人不安的是,Jia Tan 的第一個代碼更改是“libarchive”壓縮庫,這是另一個非常廣泛的程式碼庫。使用開源元件。開發人員 Evan Boehs 在其詳細的 Jia Tan 時間表中指出,第一個更改將一個功能替換為不太安全的替代方案,可能會嘗試另一次惡意程式碼更改,儘管問題已解決。
網路安全公司NetRise 的聯合創始人 Michael Scott 表示,2021 年至2024 年2 月期間,賈坦總共對至少7 個項目進行了6,000 次代碼更改,他曾在美國網路司令部下屬的海軍陸戰隊網路戰小組工作。斯科特說,確定這些變化的所有分支影響幾乎是不可能的。由於這些變更(稱為「提交」)通常會透過稱為「壓縮提交」的流程分批放入集合中,因此並不總是很清楚 Jia Tan 進行了哪些具體更改。追蹤像 libarchive 這樣的函式庫的多個版本中的哪個版本最終導致軟體增加了另一層混淆的難度。 「拉動這條線索並試圖找出所有這些東西的最終結果將會有點混亂,」斯科特說。
Scott 指出,在這段時間裡,Jia Tan 也一直在與其他貢獻者發送電子郵件,以一種「非常簡潔、非常枯燥」的方式寫作,但斯科特將其與ChatGPT 的輸出進行比較,語氣並不不友善。 「你們倆都做得很好,已經實現了這個功能,」賈坦曾寫道。或者,在另一個地方:「如果有機會,請告訴我你對這些補丁的想法:)」Jordi Mas 是一位為XZ Utils 做出貢獻的開發者,他透過電子郵件發送了Jia Tan 的「回饋”,回想起來,該帳戶轉到了額外的級別來建立對角色的信任。
最終,Scott 認為,這三年的程式碼變更和禮貌的電子郵件很可能不是用來破壞多個軟體專案的,而是建立了可信度的歷史,為特別是XZ Utils 以及未來可能的其他專案的破壞做好準備。 “他只是從未走到這一步,因為我們很幸運,找到了他的東西,”斯科特說。 “所以現在已經被燒毀了,他將不得不回到原點。”
技術刻度和時區
前卡巴斯基首席研究員 Raiu 認為,儘管賈坦是一個個體,但他們多年的準備工作是一個組織良好、國家資助的駭客組織的標誌。 Jia Tan 新增的 XZ Utils 惡意程式碼的技術特性也是如此。 Raiu 指出,乍一看,程式碼確實看起來像一個壓縮工具。 「它是以一種非常顛覆性的方式寫成的,」他說。 Raiu 表示,這也是一個「被動」後門,因此它不會連接到可能有助於識別後門操作者的命令和控制伺服器。相反,它等待操作員透過 SSH 連接到目標電腦並使用私鑰進行身份驗證(私鑰是由稱為 ED448 的特別強大的加密函數產生的)。
Raiu 指出,後門的精心設計可能是美國駭客所為,但他認為這不太可能,因為美國通常不會破壞開源項目,如果這樣做,國家安全局可能會使用抗量子密碼功能,而ED448 則沒有。 Raiu 表示,這使得非美國組織有供應鏈攻擊的歷史,例如中國的 APT41、北韓的 Lazarus Group和俄羅斯的 APT29。
乍一看,賈坦確實看起來像東亞人——或者說本來就是這樣。 Jia Tan 提交的時區是 UTC+8:這是中國的時區,距離北韓的時區只有一個小時。然而,兩位研究人員Rhea Karty 和 Simon Henniger 的分析表明,Jia Tan 可能只是在每次提交之前將電腦的時區更改為 UTC+8。事實上,一些提交是透過將電腦設定為東歐或中東時區進行的,也許是當賈坦忘記進行更改時。
分別就讀於達特茅斯學院和慕尼黑工業大學的學生卡蒂和亨尼格表示:“另一個表明他們不是來自中國的跡像是,他們在中國的重要節日期間工作。”他們指出,Jia Tan 也沒有在聖誕節或新年提交新代碼。開發商 Boehs 補充說,對於東歐或中東時區,大部分工作從上午 9 點開始,下午 5 點結束。 「提交的時間範圍表明這不是他們在工作之外完成的項目,」博斯說。
前美國國家安全局駭客、網路安全公司Immunity 創辦人 Dave Aitel 認為,儘管伊朗和以色列等國家仍有可能,但大多數線索都指向俄羅斯,特別是俄羅斯的APT29 駭客組織。 Aitel 指出,APT29(人們普遍認為它為俄羅斯外國情報機構(稱為 SVR)工作)以技術謹慎而聞名,而其他駭客組織很少有這樣的表現。 APT29 也實施了Solar Winds 攻擊,這可能是歷史上協調最巧妙、最有效的軟體供應鏈攻擊。相比之下,該操作與 XZ Utils 後門的風格相匹配,遠勝於 APT41 或 Lazarus 的更原始的供應鏈攻擊。
「很可能是其他人,」艾特爾說。 「但我的意思是,如果你正在尋找地球上最複雜的供應鏈攻擊,那將是我們 SVR 的好朋友。”
安全研究人員至少一致認為賈坦不太可能是一個真人,甚至不太可能是單獨工作的人。相反,很明顯,角色是一個組織良好的新組織的新策略的線上體現——這一策略幾乎奏效了。這意味著我們應該期待賈坦以其他名字回歸:看似禮貌而熱情的開源專案貢獻者,在程式碼提交中隱藏政府的秘密意圖。
個人積分:10727分
文章編號:89430069
個人積分:546分
文章編號:89430611
事實是美中蘇都會, 但沒有人會承認
maya95 現在的潮流就是只要是壞事,肯定都有美/俄的影子,先畫個靶然後把責任推出去。那要認真來講的話,反正台灣IT部門(或資安部門)一貫都很清貧,這種國外的事情看看笑笑就行了,影響不大
個人積分:14766分
文章編號:89432638
https://xz.fail/
