Re: [rlug] Exploitul de vineri
Este un atac tintit, a fost planuit de cel putin cateva luni, si cu motiv specific. Asta nu e o situatie shellshock si heartbleed, este o situatie de backdoor intentionat. Atacatorul Jia Tan (anonim, nu cred ca e pe bune asiatic) a castigat increderea maintanerului vechi, si i-a fost predata stafeta acum 2 ani. Initial (noile) teste pentru versiunea XZ 5.6 au rezultat in erori de compilare cu pgo: https://bugs.gentoo.org/925415 Ulterior pur coincidal, a rezultat cu un bug fix direct in GCC: https://gcc.gnu.org/bugzilla/show_bug.cgi?id=114115 In acel moment daca cineva ar fi verificat veridicitatea testelor la nivel de pre-build din xz, atunci cu siguranta s-ar fi descoperit exact in acel moment (24.02.2024). Momentan pachetele xz 5.6+ construite in toate distributiile, sunt bineinteles 'infectate'. Problema e alta. Acest nou maintainer XZ, Jia Tan, e maintainer de 2 ani pe XZ. Si de aici intervine discutia reala: de la momentul in care a devenit maintainer, in ce putem avea incredere? Aici e un timeline orientativ despre atacatori: https://boehs.org/node/everything-i-know-about-the-xz-backdoor Aici e raportul initiativei de observare: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 In acest moment, Jia Tan bineinteles ca a disparut. Insa, a reaparut maintainerul vechi Lasse Collin Raport pe main site: https://tukaani.org/xz-backdoor/ Personal recomand revert la tot ce era inainte de prima venire a maintainerului malitios. Adica pre-5.4.x, sau cat era de la momentul primului commit a lui Jia Tan. On Sat, Mar 30, 2024 at 10:00 PM Mihai Badici via RLUG wrote: > Oricum pare a fi mai degrabă un atac țintit, o să vedem când o să se mai > uite cei vizați prin log-uri. > > Era oarecum de așteptat că la un moment dat cineva se va sesiza deci > putea acționa pe un interval relativ limitat de timp... > > On 3/30/24 21:46, Mihai Badici via RLUG wrote: > > CVE-2024-3094 > > > > "While OpenSSH is not directly linked to the liblzma library, it does > > communicate with systemd in such a way that exposes it to the malware > > due to systemd linking to liblzma" > > > > On 3/30/24 21:40, Petru Rațiu via RLUG wrote: > >> Oricata boala am pe systemd, hate-ul cu el in cazul asta e usor gratuit, > >> liblzma e linkat de o gramada de chestii. > >> > >> Also, commitul original vad ca nu mai e, dar vazusem ca era pe la > >> sfarsitul > >> lui februarie, n-a prea avut timp sa ajunga prea departe decat pe la > >> cine > >> sta pe bleeding edge. La nivel de distro-uri majore inteleg ca doar > >> Fedora > >> Rawhide si Debian Unstable au avut problema. > >> > >> Also, if anything, mi se pare o confirmare f. buna a teoriei cu "many > >> eyeballs", a fost prins la aproximativ o luna dupa infiltrare pentru ca > >> cineva a detectat o diferenta perceptibila in performanta. Inca n-am > >> vazut > >> nici un write-up cu ce voia sa faca de fapt. > >> > > > > ___ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > -- Project Argent Linux. Project Rogentos Group Founder. http://rogentos.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Exploitul de vineri
Oricum pare a fi mai degrabă un atac țintit, o să vedem când o să se mai uite cei vizați prin log-uri. Era oarecum de așteptat că la un moment dat cineva se va sesiza deci putea acționa pe un interval relativ limitat de timp... On 3/30/24 21:46, Mihai Badici via RLUG wrote: CVE-2024-3094 "While OpenSSH is not directly linked to the liblzma library, it does communicate with systemd in such a way that exposes it to the malware due to systemd linking to liblzma" On 3/30/24 21:40, Petru Rațiu via RLUG wrote: Oricata boala am pe systemd, hate-ul cu el in cazul asta e usor gratuit, liblzma e linkat de o gramada de chestii. Also, commitul original vad ca nu mai e, dar vazusem ca era pe la sfarsitul lui februarie, n-a prea avut timp sa ajunga prea departe decat pe la cine sta pe bleeding edge. La nivel de distro-uri majore inteleg ca doar Fedora Rawhide si Debian Unstable au avut problema. Also, if anything, mi se pare o confirmare f. buna a teoriei cu "many eyeballs", a fost prins la aproximativ o luna dupa infiltrare pentru ca cineva a detectat o diferenta perceptibila in performanta. Inca n-am vazut nici un write-up cu ce voia sa faca de fapt. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Exploitul de vineri
CVE-2024-3094 "While OpenSSH is not directly linked to the liblzma library, it does communicate with systemd in such a way that exposes it to the malware due to systemd linking to liblzma" On 3/30/24 21:40, Petru Rațiu via RLUG wrote: Oricata boala am pe systemd, hate-ul cu el in cazul asta e usor gratuit, liblzma e linkat de o gramada de chestii. Also, commitul original vad ca nu mai e, dar vazusem ca era pe la sfarsitul lui februarie, n-a prea avut timp sa ajunga prea departe decat pe la cine sta pe bleeding edge. La nivel de distro-uri majore inteleg ca doar Fedora Rawhide si Debian Unstable au avut problema. Also, if anything, mi se pare o confirmare f. buna a teoriei cu "many eyeballs", a fost prins la aproximativ o luna dupa infiltrare pentru ca cineva a detectat o diferenta perceptibila in performanta. Inca n-am vazut nici un write-up cu ce voia sa faca de fapt. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Exploitul de vineri
Oricata boala am pe systemd, hate-ul cu el in cazul asta e usor gratuit, liblzma e linkat de o gramada de chestii. Also, commitul original vad ca nu mai e, dar vazusem ca era pe la sfarsitul lui februarie, n-a prea avut timp sa ajunga prea departe decat pe la cine sta pe bleeding edge. La nivel de distro-uri majore inteleg ca doar Fedora Rawhide si Debian Unstable au avut problema. Also, if anything, mi se pare o confirmare f. buna a teoriei cu "many eyeballs", a fost prins la aproximativ o luna dupa infiltrare pentru ca cineva a detectat o diferenta perceptibila in performanta. Inca n-am vazut nici un write-up cu ce voia sa faca de fapt. -- P. On Sat, Mar 30, 2024 at 9:22 PM Mihai Gaitos via RLUG wrote: > (raportat sambata, ca deh, m-am uitat intr-o doara cu gand ca altii mai > stiitori ca mine au raportat deja) > > Salutare lista, > > Presupun ca multi deja stiti, dar poate nu toti, daca aveti xz 5.6.0 sau > 5.6.1 (si *systemd* care injecteaza in sshd >:) ) aveti bonus backdoor > in sshd. > > https://www.openwall.com/lists/oss-security/2024/03/29/4 > > https://www.theregister.com/2024/03/29/malicious_backdoor_xz/ > > Cu bine si spor la verificari. > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Exploitul de vineri
daca esti pe stable stai linistit; cel putin momentan, pana cine stie ce ganganii se mai descopera si in versiunile vechi, la ce-am citit zilele astea ma pot astepta la orice si in mod normal n-ar fi trebuit sa fie probleme cu openssh, insa atat debian/ubuntu cat si redhat/fedora au modificat ssh-ul pentru integrare cu systemd, si atunci poof :-P oricum, frumoasa treaba, chiar opera de arta (mai ales discutiile de re-integrare cu fedora); astept cu interes deznodamantul, ca deja pare dintr-un film cu james bond :-D Alex On 30-Mar-24 21:21, Mihai Gaitos via RLUG wrote: (raportat sambata, ca deh, m-am uitat intr-o doara cu gand ca altii mai stiitori ca mine au raportat deja) Salutare lista, Presupun ca multi deja stiti, dar poate nu toti, daca aveti xz 5.6.0 sau 5.6.1 (si *systemd* care injecteaza in sshd >:) ) aveti bonus backdoor in sshd. https://www.openwall.com/lists/oss-security/2024/03/29/4 https://www.theregister.com/2024/03/29/malicious_backdoor_xz/ Cu bine si spor la verificari. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro