Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
X (formerly Twitter)
Yachen Liu (@Blankwonder) on X
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接
👍1
Forwarded from Seven 的生活帐 (Seven SUN)
This media is not supported in your browser
VIEW IN TELEGRAM
😁1
Forwarded from Welcome to the Black Parade
今天有人提到 Lasse Collin 对于 xz 项目早就疲惫不堪,Jia Tan 是极少数愿意真正贡献代码的“开发者”,这都是这场悲剧不可或缺的背景条件。
在无人关心的角落,Florian Westphal 最近辞去了内核 netfilter co-maintainer,所以现在 nf 只剩 Pablo Neira Ayuso 一人维护。这可是无数人每天使用的 netfilter。
在无人关心的角落,我最爱的工具之一 strace 依然只由一个捷克人 Dmitry V. Levin 默默维护。
在无人关心的角落,tcpdump/libpcap 在由 the-tcpdump-group 持续更新,其中一位 Denis Ovsienko 的自我介绍是 sometimes I work jobs for living, sometimes I contribute pro bono to free and open source software projects, often I do both,给人一种很孤独的感觉。
在无人关心的角落,bash group 只有三位 active members,其中一位 Bob Proulx 有个古典博客,里面有记录他和妻子的平静生活。
我以前赞美人月神话,但我现在更关心默默无闻的开发者们,就像 vim 作者 Bram Moolenaar 一生没有和任何人建立亲密关系,我只想问,你这一生过得开心吗?
你们这些伟大的开发者们过得开心吗?
在无人关心的角落,Florian Westphal 最近辞去了内核 netfilter co-maintainer,所以现在 nf 只剩 Pablo Neira Ayuso 一人维护。这可是无数人每天使用的 netfilter。
在无人关心的角落,我最爱的工具之一 strace 依然只由一个捷克人 Dmitry V. Levin 默默维护。
在无人关心的角落,tcpdump/libpcap 在由 the-tcpdump-group 持续更新,其中一位 Denis Ovsienko 的自我介绍是 sometimes I work jobs for living, sometimes I contribute pro bono to free and open source software projects, often I do both,给人一种很孤独的感觉。
在无人关心的角落,bash group 只有三位 active members,其中一位 Bob Proulx 有个古典博客,里面有记录他和妻子的平静生活。
我以前赞美人月神话,但我现在更关心默默无闻的开发者们,就像 vim 作者 Bram Moolenaar 一生没有和任何人建立亲密关系,我只想问,你这一生过得开心吗?
你们这些伟大的开发者们过得开心吗?
Forwarded from ᴊᴜsᴛ ᴀ ᴘᴇᴇᴋ
好好说话
@梁欢
1、不使用脏话。即便脏话是用于表达程度之强烈,也应尽量慎用。绝大多数情况下,它只会让人感觉使用者缺乏足够的遣词造句能力。
2、讨论的目的,在于「寻找什么是对的」,而非「证明自己是对的」。后者也是导致「拒不认错」这个行为的原因。
3、讽刺是一种高等级的、令人激赏的表达技巧,但它的效力只作用于合适的语境下。最初发表观点时,可以讽刺(包括但不限于搞笑、调侃、吐槽),这有助于观点的传播;但与人进入具体讨论时,则要避免讽刺。
4、不做「动机揣测」。以下皆为动机揣测:
-「你想红想疯了。」
-「大家散了吧,此人已经被收买。」
-「不就是借机抱大腿,炒作自己吗?」
5、不使用「资格论」。以下皆为资格论:
-「你懂个屁!」
-「你一个 xxxx,有什么资格评论别人?」
-「等你也能 xxxx,再来跟我说吧!」
6、不「混淆概念」。以下皆为混淆概念:
-「xxxx 假唱又怎么样?毕竟他们还未成年。」
-「xxxx 的产品好用?他们创始人是同性恋!」
-「反对婚姻制度?那你是怎么被生出来的?」
7、在讨论中尽可能少的使用反问句,多使用陈述句。尤其要避免「反问句」+「呵呵」句式,考虑到该句式已成为当今网络世界最大争吵源之一,且它暗含着使用者「我根本不打算进行任何有效讨论,我就是单纯要鄙视你」的立场,我们应当像不随地吐痰一样,不使用该句式。
8、当自己的观点、论据、逻辑遭受对方质疑时,相信对方是「对事不对人」的,因为你对对方也是如此;倘若发现对方不是如此,则宁可直接且优雅的快速退出讨论,也不使自己陷入同等「对人不对事」的可悲境遇。
9、在讨论过程中向对方表达感谢,有助于维持一段良性讨论的氛围;在讨论结束之后向对方表达感谢,有助于开启或增温一段友情。一个奇怪的现象是,人们在网络世界里往往不习惯向他人表达感谢之情。如果这时候你能勇于致谢,相信你与被致谢方都能收获额外的愉悦。
10、诚恳承认自己的错误,并始终为自己的错误言行及其引发的后果负责。这是最重要的。
@梁欢
1、不使用脏话。即便脏话是用于表达程度之强烈,也应尽量慎用。绝大多数情况下,它只会让人感觉使用者缺乏足够的遣词造句能力。
2、讨论的目的,在于「寻找什么是对的」,而非「证明自己是对的」。后者也是导致「拒不认错」这个行为的原因。
3、讽刺是一种高等级的、令人激赏的表达技巧,但它的效力只作用于合适的语境下。最初发表观点时,可以讽刺(包括但不限于搞笑、调侃、吐槽),这有助于观点的传播;但与人进入具体讨论时,则要避免讽刺。
4、不做「动机揣测」。以下皆为动机揣测:
-「你想红想疯了。」
-「大家散了吧,此人已经被收买。」
-「不就是借机抱大腿,炒作自己吗?」
5、不使用「资格论」。以下皆为资格论:
-「你懂个屁!」
-「你一个 xxxx,有什么资格评论别人?」
-「等你也能 xxxx,再来跟我说吧!」
6、不「混淆概念」。以下皆为混淆概念:
-「xxxx 假唱又怎么样?毕竟他们还未成年。」
-「xxxx 的产品好用?他们创始人是同性恋!」
-「反对婚姻制度?那你是怎么被生出来的?」
7、在讨论中尽可能少的使用反问句,多使用陈述句。尤其要避免「反问句」+「呵呵」句式,考虑到该句式已成为当今网络世界最大争吵源之一,且它暗含着使用者「我根本不打算进行任何有效讨论,我就是单纯要鄙视你」的立场,我们应当像不随地吐痰一样,不使用该句式。
8、当自己的观点、论据、逻辑遭受对方质疑时,相信对方是「对事不对人」的,因为你对对方也是如此;倘若发现对方不是如此,则宁可直接且优雅的快速退出讨论,也不使自己陷入同等「对人不对事」的可悲境遇。
9、在讨论过程中向对方表达感谢,有助于维持一段良性讨论的氛围;在讨论结束之后向对方表达感谢,有助于开启或增温一段友情。一个奇怪的现象是,人们在网络世界里往往不习惯向他人表达感谢之情。如果这时候你能勇于致谢,相信你与被致谢方都能收获额外的愉悦。
10、诚恳承认自己的错误,并始终为自己的错误言行及其引发的后果负责。这是最重要的。
❤1👍1