CVE-2024-3094 — это всё, как мы тут любим.

Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.

Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.

То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.

Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.

Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.

Во всём этом есть хорошие новости и есть плохие.

Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.

Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.

Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.

Литература:

https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.

Cybersecgame

CVE-2024-3094 — это всё, как мы тут любим.

Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.

Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.

То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.

Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.

Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.

Во всём этом есть хорошие новости и есть плохие.

Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.

Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.

Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.

Литература:

https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.

www.opennet.ru

Ретроспектива продвижения бэкдора в пакет xz

Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java…

hottg.com/cybersecgame/189

19.8K viewsOleg, edited  Mar 30 at 19:39