Η εταιρεία ασφάλειας firmware Binarly, κυκλοφόρησε έναν δωρεάν online σαρωτή, τον XZ scanner, για τον εντοπισμό backdoor σε συστήματα Linux, που επηρεάζονται από την επίθεση αλυσίδας εφοδιασμού XZ Utils.
Δείτε επίσης: Το σφάλμα WallEscape στο Linux wall κλέβει κωδικούς πρόσβασης
Το CVE-2024-3094 είναι μια παραβίαση της αλυσίδας εφοδιασμού στα XZ Utils, ένα σύνολο εργαλείων συμπίεσης δεδομένων και βιβλιοθηκών, που χρησιμοποιούνται σε πολλές μείζονες διανομές Linux.
Τον περασμένο μήνα, ο μηχανικός της Microsoft, Andres Freud, ανακάλυψε το backdoor στην πιο πρόσφατη έκδοση του πακέτου XZ Utils, καθώς ερευνούσε την ασυνήθιστα αργή είσοδο SSH στο Debian Sid, μια συνεχώς εξελισσόμενη έκδοση της διανομής Linux.
Το backdoor εισήχθη στην έκδοση 5.6.0 του XZ και παρέμεινε και στην έκδοση 5.6.1. Ωστόσο, επηρεάστηκαν μόνο λίγες διανομές Linux και εκδόσεις που ακολουθούν μια προχωρημένη προσέγγιση αναβάθμισης “bleeding edge“, με τις περισσότερες να χρησιμοποιούν μια πιο παλιά και ασφαλή έκδοση βιβλιοθήκης.
Μετά τον εντοπισμό του backdoor, ξεκίνησε μια προσπάθεια ανίχνευσης και αντιμετώπισης, με την CISA να προτείνει την υποβάθμιση του XZ Utils 5.4.6 Stable και την αναζήτηση και αναφορά οποιασδήποτε κακόβουλης δραστηριότητας.
O XZ scanner
Μέχρι στιγμής, η προσέγγιση που ακολουθείται στις προσπάθειες μείωσης των απειλών βασίζεται σε απλούς ελέγχους, όπως η αντιστοίχιση byte string, η αποκλειστική απαγόρευση κατακερματισμού αρχείων και οι κανόνες YARA, τα οποία θα μπορούσαν να οδηγήσουν σε ψευδείς θετικές ανιχνεύσεις.
Δείτε ακόμα: Η Magnet Goblin διανέμει Linux malware μέσω 1-day flaws
Αυτή η προσέγγιση μπορεί να προκαλέσει σημαντική κόπωση από ειδοποιήσεις και δεν βοηθά στον εντοπισμό παρόμοιων backdoors σε άλλα έργα.
Για να αντιμετωπίσει αυτό το πρόβλημα, η Binarly ανέπτυξε έναν αφιερωμένο XZ scanner που λειτουργεί για τη συγκεκριμένη βιβλιοθήκη Linux και οποιοδήποτε αρχείο φέρει το ίδιο το backdoor.
Η μέθοδος ανίχνευσης της Binarly χρησιμοποιεί στατική ανάλυση δυαδικών αρχείων για την αναγνώριση τροποποιήσεων στις μεταβάσεις του GNU Indirect Function (IFUNC).
Πιο συγκεκριμένα, XZ scanner ελέγχει τις μεταβάσεις που επισημαίνονται ως ύποπτες κατά την εφαρμογή επιβλαβούς ανάλυσης IFUNC
. Το γνώρισμα IFUNC του μεταγλωττιστή GCC επιτρέπει στους προγραμματιστές να δημιουργήσουν πολλαπλές εκδόσεις της ίδιας συνάρτησης που επιλέγονται στο runtime με βάση διάφορα κριτήρια, όπως ο τύπος επεξεργαστή. Η παραπάνω προσπάθεια εκμεταλλεύεται αυτό το μηχανισμό με την τροποποίηση κλήσεων IFUNC για να παρεμβαίνει ή να συνδέει την εκτέλεση, με αποτέλεσμα την εισαγωγή κακόβουλου κώδικα.Ο XZ scanner της Binarly, αυξάνει την ανίχνευση καθώς σαρώνει για διάφορα σημεία της αλυσίδας εφοδιασμού πέρα από το έργο XZ Utils, με τα αποτελέσματα να είναι υψηλότερης εμπιστοσύνης. Το εργαλείο σάρωσης backdoor XZ scanner, για συστήματα Linux, είναι διαθέσιμο στο xz.fail, όπου οι χρήστες μπορούν να μεταφορτώσουν τα δυαδικά αρχεία τους για απεριόριστους δωρεάν ελέγχους.
Το Binarly έχει διαθέσει ένα δωρεάν API για την επεξεργασία μαζικών σαρώσεων για όσους το χρειάζονται.
Δείτε επίσης: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Τα backdoor, ή αλλιώς πίσω πόρτες, είναι μέθοδοι που επιτρέπουν σε έναν χρήστη να παρακάμψει τα κανονικά συστήματα πιστοποίησης ή ασφάλειας ενός συστήματος. Μπορούν να εγκατασταθούν είτε από τον ίδιο τον χρήστη για ευκολότερη πρόσβαση, είτε από επιτιθέμενους για να αποκτήσουν πρόσβαση σε ένα σύστημα χωρίς να γίνουν αντιληπτοί. Για να προστατευτείτε από τα backdoor, είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό και το λειτουργικό σύστημα, να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ελέγχετε τακτικά το σύστημά σας για ενδείξεις παραβίασης. Επίσης, είναι σημαντικό να είστε προσεκτικοί με τα λογισμικά που εγκαθιστάτε, καθώς τα backdoor μπορεί να ενσωματωθούν σε λογισμικά που φαίνονται νόμιμα.
Πηγή: bleepingcomputer