一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统正如ArsTechnica在其详尽的回顾中所指出的,罪犯一直在公开进行该项目,潜伏时间已两年有余。这个被植入Linux远程登录的漏洞只暴露了自己的一个密钥,因此可以躲过公共计算机的扫描。正如本-汤普森(BenThompson)在《战略》(Stratechery)杂志上写道:"世界上绝大多数电脑都存在漏洞,却无人知晓"。XZ后门被发现的故事始于3月29日凌晨旧金山的微软开发人员安德烈斯-弗罗因德在Mastodon上发帖并向OpenWall的安全邮件列表发送了一封电子邮件,标题为"上游xz/liblzma中的后门导致ssh服务器被入侵"Freund是PostgreSQL(一种基于Linux的数据库)的"维护者",他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分liblzma的加密登录占用了大量CPU。弗罗因德在Mastodon上写道,他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑,他想起了几周前一位Postgres用户对Valgrind(Linux检查内存错误的程序)的"奇怪抱怨"。经过一番调查,Freund最终发现了问题所在。弗罗因德在邮件中指出:"上游xz代码库和xz压缩包都被做了后门。恶意代码存在于5.6.0和5.6.1版本的xz工具和库中。"不久之后,企业级开源软件公司红帽(RedHat)向FedoraRawhide和FedoraLinux40的用户发出了紧急安全警报。最终,该公司得出结论,FedoraLinux40测试版包含两个受影响的xz库版本。FedoraRawhide版本很可能也收到了5.6.0或5.6.1版本。请立即停止在工作或个人活动中使用任何FedoraRawhide实例。FedoraRawhide将很快恢复到xz-5.4.x,一旦恢复完成,FedoraRawhide实例就可以安全地重新部署了。尽管免费Linux发行版Debian的一个测试版包含了被破解的软件包,但其安全团队还是迅速采取了行动,将其恢复了原样。"Debian的SalvatoreBonaccorso在周五晚上向用户发出的安全警报中写道:"目前还没有Debian稳定版本受到影响。弗罗因德后来确认,提交恶意代码的人是两名主要xzUtils开发人员之一,即JiaT75或JiaTan。"鉴于几周来的活动,提交者要么是直接参与其中,要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道:"不幸的是,后者看起来不太可能,因为他们在各种列表上交流了上述'修复'方法。"JiaT75是一个耳熟能详的名字:他们曾与.xz文件格式的原始开发者LasseCollin并肩工作过一段时间。程序员拉斯-考克斯(RussCox)在他的事件时间轴页面中指出,2021年10月,JiaT75开始向XZ邮件列表发送看似合法的补丁。几个月后,该计划的其他部分开始展开,另外两个身份,JigarKumar和DennisEns,开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而,正如EvanBoehs等人在报告中指出的,"Kumar"和"Ens"从未在XZ社区之外出现过,这让调查人员相信这两个人都是假冒的,他们的存在只是为了帮助贾炭就位,以交付被破解的代码。JigarKumar"向XZUtils开发商施压,要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾,但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目,但社区需要更多。"恩斯在一条信息中写道,而库马尔则在另一条信息中说:"在有新的维护者之前,不会有任何进展。"在这来来回回的过程中,柯林斯写道:"我并没有失去兴趣,但主要由于长期的精神健康问题,也由于其他一些事情,我的照顾能力受到了相当大的限制",并建议贾坦承担更大的角色。"他最后说:"最好记住,这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断,直到那年晚些时候,Tan被添加为维护者,能够进行修改,并尝试将backdoored软件包以更权威的方式发布到Linux发行版中。xz后门事件及其后果既体现了开放源代码的魅力,也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包FFmpeg的开发者在一条推文中强调了这一问题,他说:"xz事件表明,对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据,指出他们是如何处理影响MicrosoftTeams的"高优先级"漏洞的。"尽管微软依赖其软件,但该开发人员写道:"在礼貌地要求微软提供长期维护的支持合同后,他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感,可能不会给中层经理带来升职机会,但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息,正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是,这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。...PC版:https://www.cnbeta.com.tw/articles/soft/1426014.htm手机版:https://m.cnbeta.com.tw/view/1426014.htm

相关推荐

封面图片

微软员工意外从CVE-2024-3094 XZ后门中挽救了全球Linux崩溃事件

微软员工意外从CVE-2024-3094XZ后门中挽救了全球Linux崩溃事件幸运的是,微软Linux开发人员AndresFreund意外地及时发现了这一漏洞,他对SSH(安全外壳)端口连接为何会出现500毫秒延迟感到好奇,结果发现了一个嵌入在XZ文件压缩器中的恶意后门。到目前为止,在撰写本文时,VirtusTotal只列出了63家安全厂商中的4家,其中包括微软,它们都正确地检测到了该漏洞的危害性。因此,在这一事件中,微软工程师的鹰眼本领值得称赞,因为很多人可能根本不会费心去研究它。这一事件也凸显了开源软件是如何被有害行为者利用的。XZUtils的5.6.0和5.6.1版本已被后门破坏,美国网络安全和基础设施安全局(CISA)的官方建议是使用旧的安全版本。根据建议指南,要验证系统中是否有漏洞软件,用户可以在SSH中以管理员权限运行以下命令:xz--version系统管理员也可使用第三方扫描和检测工具。安全研究公司Qualys和Binarly发布了检测和扫描工具,用于检测系统是否受到影响。Qualys发布了VULNSIGS2.6.15-6版本,并在QID(Qualys漏洞检测ID)"379548"下标记了该漏洞。与此同时,Binarly还发布了一款免费的XZ后门扫描工具,一旦检测到XZUtils被入侵,该工具就会发出"XZ恶意植入"的检测信息。您可以在Binarly和Qualys的网站上找到与该漏洞相关的更多技术细节。...PC版:https://www.cnbeta.com.tw/articles/soft/1425919.htm手机版:https://m.cnbeta.com.tw/view/1425919.htm
封面图片

xz 开发者植入后门破解 SSH 加密

xz开发者植入后门破解SSH加密Linux上广泛使用的无损压缩软件包xz-utils被该项目的一位维护者秘密植入了后门,后门旨在绕过签名验证未经授权访问开放SSH端口的系统。存在后门的版本是v5.6.0和v5.6.1,后门版本尚未进入Linux发行版的生产版本,因此影响范围有限,主要影响的是测试版本的Debian和RedHat发行版,以及Arch和openSUSE等。攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者JiaT75(JiaTan)于2021年创建了GitHub账号,之后积极参与了xz-utils的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某OpenSSL函数的功能,添加了一个SSH后门。”创建后门版本之后JiaT75还积极联络主要Linux发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在bug,会导致崩溃等,此人随后与Linux开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。目前JiaT75的账号以及xz-utils库都已被关闭。来源,频道:@kejiqu群组:@kejiquchat
封面图片

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃

广泛使用的实用程序中发现的后门可能导致Linux社区崩溃微软的PostgreSQL开发人员安德烈斯-弗罗因德(AndresFreund)在进行一些例行的微基准测试时,注意到ssh进程出现了600毫秒的小延迟。一波未平一波又起,Freund最终偶然发现了一种供应链攻击,其中涉及XZ软件包中被混淆的恶意代码。他将这一发现发布在开源安全邮件列表上,开源社区从此开始关注这一事件。开发社区迅速揭露了这一攻击是如何被巧妙地注入XZutils的,XZutils是一个小型开源项目,至少自2009年以来一直由一名无偿开发人员维护。与违规提交相关的账户似乎玩起了长线游戏,慢慢赢得了XZ开发人员的信任,这让人们猜测恶意代码的作者是一个老练的攻击者,可能隶属于某个国家机构。该恶意代码的正式名称为CVE-2024-3094,CVSS评分为最高的10分。红帽公司报告说,恶意代码修改了liblzma中的函数,这是一个数据压缩库,是XZutils软件包的一部分,也是几个主要Linux发行版的基础部分。然后,任何与XZ库链接的软件都可以使用这些修改过的代码,并允许截取和修改与该库一起使用的数据。据Freund称,在某些条件下,这个后门可以让恶意行为者破坏sshd身份验证,从而允许攻击者访问受影响的系统。Freund还报告说,XZutils5.6.0和5.6.1版本也受到影响。RedHat在Fedora41和FedoraRawhide中发现了存在漏洞的软件包,建议用户停止使用,直到有更新可用,但RedHatEnterpriseLinux(RHEL)仍未受到影响。SUSE已发布openSUSE(Tumbleweed或MicroOS)的更新。DebianLinux稳定版是安全的,但测试版、不稳定版和实验版由于软件包受损,需要xz-utils更新。在3月26日至3月29日期间更新的KaliLinux用户需要再次更新以获得修复,而在3月26日之前更新的用户不受此漏洞影响。不过,正如许多安全研究人员指出的那样,情况仍在发展中,可能会发现更多漏洞。目前还不清楚其有效载荷是什么。美国网络安全和基础设施安全局建议人们降级到未被破坏的XZutils版本,即早于5.6.0的版本。安全公司还建议开发人员和用户进行事件响应测试,查看是否受到影响,如果受到影响,则向CISA报告。幸运的是,这些受影响的版本似乎并没有被纳入任何主要Linux发行版的生产版本中,但安全公司Analygence的高级漏洞分析师WillDormann告诉ArsTechnica,这次发现可谓千钧一发。他说:"如果没有被发现,这将给世界带来灾难。"...PC版:https://www.cnbeta.com.tw/articles/soft/1425712.htm手机版:https://m.cnbeta.com.tw/view/1425712.htm
封面图片

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向xz-utils添加后门影响多个Linux发行版本周五RedHat警告用户在最新版本的xz-utils数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个Linux发行版合并,但RHEL不受此影响。RedHat目前正在跟踪此供应链安全问题,编号为,严重性评分为10/10。xz是被Linux发行版广泛使用的压缩格式之一,xz-utils(LZMA-utils)是一个开源项目,2022年起有个名为JiaTan的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在Git发行版中找到,因为缺少触发后门构建过程的M4宏。该恶意代码会修改系统中的OpenSSH,使攻击者可以使用精心构造的数据跳过RSA密钥检验,在未授权情况下授予攻击者不受限制的访问权限。——
封面图片

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门多个Linux发行版中招日前该项目被发现存在后门,这些恶意代码旨在允许未经授权的访问,具体来说影响xz-utils5.6.0和5.6.1版中,而且这些受影响的版本已经被多个Linux发行版合并。简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响Linux发行版,包括FedoraLinux40/41等操作系统已经确认受该问题影响。恶意代码的目的:RedHat经过分析后认为,此次黑客添加的恶意代码会通过systemd干扰sshd的身份验证,SSH是远程连接系统的常见协议,而sshd是允许访问的服务。在适当的情况下,这种干扰可能会让黑客破坏sshd的身份验证并获得整个系统的远程未经授权的访问(无需SSH密码或密钥)。RedHat确认FedoraLinux40/41、FedoraRawhide受该问题影响,RHEL不受影响,其他Linux发行版应该也受影响,具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本:如果你使用的Linux发行版受上述后门程序影响,RedHat的建议是无论个人还是商用目的,都应该立即停止使用。之后请查询Linux发行版的开发商获取安全建议,包括检查和删除后门程序、回滚或更新xz-utils等。孤独的开源贡献者问题:在这里还需要额外讨论一个开源项目的问题,xz-utils尽管被全世界的Linux发行版、压缩软件广泛使用,但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因,在遇到一名新的贡献者时,随着时间的推移,在获取信任后,这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目,知道这种情况下可能更容易获取控制权,于是从2022年开始就贡献代码,直到成为主要贡献者后,再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加,这对整个开源社区来说应该都是头疼的问题。...PC版:https://www.cnbeta.com.tw/articles/soft/1425585.htm手机版:https://m.cnbeta.com.tw/view/1425585.htm
封面图片

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布有关Linux系统XZUtils漏洞的详细常见问题解答微软的回应包括针对受此漏洞影响的用户的关键建议。该公司建议将XZUtils降级到安全版本,并使用MicrosoftDefenderVulnerabilityManagement和DefenderforCloud。该漏洞是微软员工AndresFreund在调查Debian系统SSH性能问题时"意外"发现的。弗罗因德注意到与XZUtils更新相关的异常行为,从而发现了XZUtils5.6.0和5.6.1版本中故意植入的后门。该后门允许拥有正确私钥的攻击者利用SSH操作,授予他们对系统的root访问权限。后门通过五级加载器操作,操纵函数解析过程,使攻击者能够远程执行任意命令。以下是受该漏洞影响的Linux发行版:FedoraRawhidehttps://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersFedora41https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-usersDebian测试版、不稳定版和实验版5.5.1alpha-0.1至5.6.1-1。https://lists.debian.org/debian-security-announce/2024/msg00057.htmlopenSUSETumbleweed和openSUSEMicroOShttps://news.opensuse.org/2024/03/29/xz-backdoor/KaliLinuxhttps://www.kali.org/blog/about-the-xz-backdoor/值得注意的是,红帽企业Linux(RHEL)版本不受影响。最流行的Linux发行版之一Ubuntu也没有受到影响,因为它使用的是XZUtils的旧版本5.4。除上述步骤外,还可检查您的Linux系统是否受该漏洞影响、在终端中运行xz--version命令,检查系统中安装的XZUtils版本。如果输出显示版本等于5.6.0或5.6.1,则系统可能存在漏洞。如果您的系统正在运行易受攻击的XZUtils版本,请立即采取行动更新系统,尤其是在使用基于.deb或.rpm的glibc发行版的情况下。优先更新在公开访问的SSH端口上使用systemd的系统,以降低直接风险。如果怀疑自己的系统可能已被入侵,还可以查看审计日志,查找任何可能表明存在未经授权访问或异常活动的异常情况。要了解微软的建议和详细的常见问题,请访问此处的微软技术社区页面。...PC版:https://www.cnbeta.com.tw/articles/soft/1425901.htm手机版:https://m.cnbeta.com.tw/view/1425901.htm

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人