Xzbot: xz arka kapısı için notlar, honeypot ve exploit demosu

 (github.com/amlweems)
1 puan yazan GN⁺ 2024-04-02 | 1 yorum | WhatsApp'ta paylaş

xz arka kapısının incelenmesi (CVE-2024-3094)

  • honeypot: sahte savunmasız bir sunucu üzerinden sızma girişimlerini tespit etme
  • ed448 patch: liblzma.so dosyasını kendi ED448 açık anahtarını kullanacak şekilde yamalama
  • backdoor format: arka kapı yük biçimi
  • backdoor demo: ED448 özel anahtarının bilindiği varsayımıyla RCE'yi tetikleyen CLI

honeypot

  • Açık anahtar N değeri arka kapı biçimiyle eşleşen tüm bağlantı girişimlerini kaydeden basit bir OpenSSH yaması sunuluyor
  • Bağlantı girişimleri sshd loglarında şu şekilde görünüyor

ed448 patch

  • Arka kapı, imza doğrulaması ve yük şifre çözme için sabit kodlanmış bir ED448 açık anahtarı kullanıyor
  • Bu anahtar kendi anahtarınızla değiştirilirse arka kapı tetiklenebilir
  • Arka kapı içeren libxzma paylaşımlı nesnesini indirip yama betiğini çalıştırarak anahtarı değiştirin

backdoor format

  • SSH sertifikaları kullanılarak bağlanıp CA imzalama anahtarı N değerine bir yük eklenerek arka kapı tetiklenebilir
  • Bu yük, saldırganın ED448 anahtarıyla şifrelenmeli ve imzalanmalıdır
  • Yük yapısı belirtilen biçimi izler

backdoor demo

  • Savunmasız bir SSH sunucusuna bağlanıp id > /tmp/.xz komutunu çalıştırma yöntemi gösteriliyor
  • Savunmasız sunucuda system() çağrısı izlenerek komutun çalıştırıldığı gözlemlenebiliyor
  • Normal sshd süreç ağacı ile arka kapı üzerinden oluşan süreç ağacı farklı görünüyor

GN⁺ görüşü

  • Bu yazı, CVE-2024-3094 olarak tanımlanan xz arka kapısı zafiyetine derinlemesine bir inceleme sunuyor ve güvenlik araştırmacıları ile sistem yöneticileri için oldukça faydalı bilgiler sağlıyor.
  • Arka kapının nasıl tespit edilip buna nasıl yanıt verilebileceğini göstererek savunmasız sistemlerin korunmasına yardımcı olabilir.
  • Bu tür zafiyetler sistemin temel güvenlik mekanizmalarını atlatabildiği için, yazılım geliştiricilerin ve güvenlik uzmanlarının bunları anlaması ve önlem alması gerekiyor.
  • Benzer işlevler sunan diğer güvenlik araçları veya projeler arasında OpenSSH, Fail2Ban ve Snort yer alıyor; bunlar sistemi korumak için ek savunma katmanları sağlayabilir.
  • Bu yazı yeni bir zafiyetin teknik ayrıntılarını sunduğundan, güvenlik topluluğunun daha güçlü savunma stratejileri geliştirmesine yardımcı olabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-04-02
Hacker News görüşleri
  • Hacker News yorum özeti:
    • Saldırganın özel anahtarını gerektiren bir RCE (Remote Code Execution) açığına dair ilginç bir nokta. Düzeltme: Bağlantıyı yanlış anlamışım; orijinal yorumu kayıt olarak bırakıyorum.

      • Bu açık ironik biçimde güvenlik odaklı görünüyor. Ayrıca aynı e-posta dizisinde, arka kapıyı commit eden kişinin yakın zamanda çekirdeğe de katkıda bulunduğu görülüyor.

    • Hacker topluluğunun ve özellikle amlweems'in POC'yi (Proof of Concept) hızla uygulayıp belgelediğine yönelik hayranlık. Düzeltme: Bir sonraki adım, savunmasız dağıtımların nasıl bulunacağını ve SSH sunucularına yönelik aktif probing'in nasıl izleneceğini bulmak.

      • Topluluğun hızlı müdahalesi ve analizine övgü.

    • PoC'nin anormal davranışı tespit eden araçlarda (Carbon Black, AWS GuardDuty, SysDig vb.) denenip denenmediğine ve bununla hızlıca tespit edilip edilemeyeceğine dair merak.

      • PoC'nin anormal davranış tespit araçlarıyla test edilmesine dair merak.

    • SSH bağlantısı olmasa da çalışıp çalışmadığına dair soru. GitHub'daki string listesinde DISPLAY ve WAYLAND_DISPLAY yer alıyor.

      • SSH ile doğrudan ilişkili olmayan string'lerin varlığı nedeniyle ek etki alanına dair spekülasyon.

    • Çalışma anında openssh.patch gerekmeksizin, liblzma.so.5.6.1 belleğe yüklendiğinde openssh_RSA_verify fonksiyonuna nasıl patch uygulandığına dair soru.

      • Açığın çalışma anında nasıl istismar edildiğine dair teknik soru.

    • Başarılı bir saldırının log bırakmaması. Bu nedenle saldırganın log bırakmadan keyfi komutlar çalıştırıp çalıştıramadığına dair soru.

      • Log üretilmeden saldırının mümkün olması konusundaki endişe.

    • xz, OpenSSH ve Linux projelerinin sorumlularının bu açığa nasıl yanıt verdiği ve gelecekte bu tür açıkların nasıl önlenebileceğine dair görüşler.

      • Proje sorumlularının tepkisi ve gelecekteki önleme yöntemlerine ilgi.

    • Devlet düzeyinde casusluk faaliyetleri ve arka kapılar üzerine tartışma. ABD donanıma müdahaleyi tercih ederken, İsrail gibi diğer ülkeler uzun vadeli yazılım arka kapılarına odaklanıyor.

      • Ülkelere göre arka kapı stratejilerine dair analiz.

    • Neden ED448 kullanıldığına dair soru. Genelde curve 25519 önerilmesine rağmen.

      • Belirli bir kriptografik algoritmanın seçilmesine dair soru işaretleri.