Xzbot: xzバックドアのためのノート、ハニーポット、エクスプロイトデモ

 (github.com/amlweems)
1 ポイント 投稿者 GN⁺ 2024-04-02 | 1件のコメント | WhatsAppで共有

xzバックドアの探索 (CVE-2024-3094)

  • honeypot: 偽の脆弱サーバーを通じて侵入の試みを検知
  • ed448 patch: 独自のED448公開鍵を使うようにliblzma.soをパッチ
  • backdoor format: バックドアのペイロード形式
  • backdoor demo: ED448秘密鍵を知っていると仮定してRCEをトリガーするCLI

honeypot

  • 公開鍵Nがバックドア形式と一致するすべての接続試行を記録する、シンプルなopensshパッチを提供
  • 接続試行はsshdログに次のように表示される

ed448 patch

  • バックドアはハードコードされたED448公開鍵を使って署名を検証し、ペイロードを復号する
  • この鍵を自分のものに置き換えることでバックドアをトリガーできる
  • バックドアが含まれたlibxzma共有オブジェクトをダウンロードし、パッチスクリプトを実行して鍵を置き換える

backdoor format

  • SSH証明書を使って接続し、CA署名鍵Nの値にペイロードを含めることでバックドアをトリガーできる
  • このペイロードは攻撃者のED448鍵で暗号化および署名されている必要がある
  • ペイロード構造は明示された形式に従う

backdoor demo

  • 脆弱なSSHサーバーに接続し、id > /tmp/.xz コマンドを実行する方法を提供
  • 脆弱なサーバーで system() 呼び出しを監視し、コマンドが実行される様子を観察できる
  • 通常のsshdプロセスツリーと、バックドア経由のプロセスツリーは異なって見える

GN⁺の見解

  • この記事はCVE-2024-3094として指定されたxzバックドア脆弱性の詳細な分析を扱っており、セキュリティ研究者やシステム管理者にとって非常に有益な情報を提供している。
  • バックドアを検知し対処する方法を示すことで、脆弱なシステムの保護に役立つ可能性がある。
  • この種の脆弱性はシステムの根本的なセキュリティ機構を回避できるため、ソフトウェア開発者とセキュリティ専門家は、このタイプの脆弱性を理解し防止するための対策を講じる必要がある。
  • 類似の機能を提供する他のセキュリティツールやプロジェクトとしては、OpenSSH、Fail2Ban、Snort などがあり、これらはシステムを保護するための追加の防御層を提供できる。
  • この記事は新たな脆弱性に関する技術的な詳細を提供しており、これを通じてセキュリティコミュニティがより強固な防御戦略を開発する助けになる可能性がある。

関連記事

1件のコメント

 
GN⁺ 2024-04-02
Hacker Newsの意見
  • Hacker Newsコメント要約:
    • 攻撃者の秘密鍵が必要なRCE(Remote Code Execution)脆弱性についての興味深い指摘。訂正: リンクを誤解しており、元のコメントを記録として残す。

      • この脆弱性は皮肉にもセキュリティを意識したもののように見える。また、同じメールスレッドでバックドアをコミットした人物が最近カーネルにも貢献していたことが分かった。

    • ハッカーコミュニティ、特にamlweemsがPOC(Proof of Concept)を素早く実装し文書化したことへの感嘆。訂正: 脆弱なディストリビューションを見つける方法と、SSHサーバーに対する活発なプロービングを監視する方法を見つけることが次の段階。

      • コミュニティの迅速な対応と分析への称賛。

    • PoCが異常行動を検知するツール群(Carbon Black、AWS GuardDuty、SysDigなど)で試されたことがあるのか、またそれによって素早く検知される可能性についての疑問。

      • 異常行動検知ツールとPoCのテストに対する関心。

    • SSH接続がなくても動作したのかという疑問。GitHubにある文字列一覧に DISPLAYWAYLAND_DISPLAY が含まれている。

      • SSHと直接関係のない文字列の存在による、追加的な影響範囲についての推測。

    • 実行時にopenssh.patchを必要とせず、liblzma.so.5.6.1がメモリにロードされたときにどのようにopenssh_RSA_verifyへパッチを適用したのかという質問。

      • 実行時に脆弱性を悪用した過程についての技術的な質問。

    • 攻撃が成功してもログを残さない点。これにより、攻撃者がログを残さず任意のコマンドを実行できたのかという疑問。

      • ログを生成せずに攻撃が可能だった点への懸念。

    • xz、OpenSSH、Linuxプロジェクトの責任者たちがこの脆弱性にどう対応したのか、また将来このような脆弱性を防ぐ方法についての意見。

      • プロジェクト責任者の対応と将来の予防策への関心。

    • 国家レベルのスパイ活動とバックドアに関する議論。米国はハードウェア介入を好む一方、イスラエルのような他国は長期的なソフトウェアバックドアに重点を置く。

      • 国ごとのバックドア戦略に関する分析。

    • ED448を使用した理由への疑問。一般的にはcurve 25519が推奨されるにもかかわらず。

      • 特定の暗号アルゴリズム選択への疑問提起。