XZ arka kapısı: "Kimlik doğrulama atlatması değil, RCE; kapısı var ve yeniden oynatılamaz."

xz arka kapısı analizi

• Filippo Valsorda, bazı kişilerin xz arka kapısını tersine mühendislikle incelediğini gözlemledi ve ilk analiz sonuçlarını paylaştı.
• RSA_public_decrypt kancası, sunucunun host anahtarı için sabit bir Ed448 anahtarının imzasını doğrular ve sisteme payload iletir.
• Bu, kimlik doğrulama atlatması değil, uzaktan kod çalıştırma (RCE) ve tek kullanımlık olup yeniden oynatılamaz.

Tedarik zinciri saldırısı

• Bu saldırı, kamuya açık şekilde açıklanmış en iyi yürütülmüş tedarik zinciri saldırısı olabilir; kötü niyetli, yetkin ve yaygın kullanılan bir kütüphanenin resmi upstream'inde gerçekleşti.
• Bu saldırının tesadüfen keşfedildiği anlaşılıyor; aksi halde bunun ne kadar uzun süreceği merak konusu.

Payload çıkarma ve doğrulama

• Payload, RSA_public_decrypt fonksiyonuna geçirilen N değerinden (açık anahtar) çıkarılır, basit bir fingerprint için kontrol edilir ve Ed448 imza doğrulamasından önce sabit bir ChaCha20 anahtarıyla çözülür.

RSA_public_decrypt fonksiyonu

• RSA_public_decrypt, adı kulağa tuhaf gelse de imza doğrulama işlevi görür.
• RSA imza doğrulaması, RSA şifrelemeyle aynı işlemi gerçekleştirir.

OpenSSH sertifikaları ve saldırgan kontrolü

• RSA_public_decrypt açık anahtarı, OpenSSH sertifikaları kullanılarak kimlik doğrulamadan önce saldırgan tarafından kontrol edilebilir.
• OpenSSH sertifikaları imzalayanın açık anahtarını içerir ve OpenSSH ayrıştırma sırasında imzayı kontrol eder.

Arka kapılı sisteme özel açık anahtar gönderme betiği

• Keegan Ryan'ın yazdığı bir betik sayesinde, özel bir açık anahtarı sertifikaya yerleştirip arka kapılı sisteme ulaştıran kanca fonksiyonu kullanılabilir.

Arka kapının güvenlik önlemleri

• Arka kapı, payload hatalıysa veya saldırganın anahtar imzası doğrulanamazsa normal çalışmaya geri döner.
• Bu da, bir hata bulunmadıkça ağ üzerinden güvenilir ve yeniden kullanılabilir bir tarayıcı yazılamayacağı anlamına gelir.

GN⁺ görüşü

• Bu tür arka kapılar sistem güvenliği için ciddi tehdit oluşturur; özellikle yaygın kullanılan kütüphanelere yerleştirildiklerinde etkileri daha da büyüyebilir.
• Saldırının tesadüfen keşfedilmiş olması, güvenlik sistemlerindeki zayıflıkları ortaya koyuyor ve sürekli izleme ile denetimin ne kadar önemli olduğunu vurguluyor.
• Bu yazı, yazılım tedarik zincirinin güvenliği konusunda farkındalık yaratmaya yardımcı olabilir ve geliştiricilerle sistem yöneticilerine bir uyarı niteliği taşır.
• Arka kapı gibi güvenlik tehditlerine karşı, açık kaynak güvenlik araçları veya zafiyet tarayıcıları kullanmak faydalı olabilir. Örneğin OWASP ZAP veya Nessus gibi araçlar yararlı olabilir.
• Yeni bir teknoloji ya da açık kaynak çözüm benimsenirken güvenlik boyutu dikkatle incelenmeli ve bu tür saldırılardan sistemi korumak için uygun önlemler alınmalıdır.