Firma de securitate a firmware-ului, Binarly, a lansat un scanner online gratuit pentru a detecta executabile Linux afectate de atacul de tip lantă de aprovizionare XZ Utils, urmărit sub denumirea CVE-2024-3094.
CVE-2024-3094 reprezintă o compromitere a lanțului de aprovizionare în XZ Utils, un set de instrumente de comprimare a datelor și biblioteci folosite în multe distribuții majore de Linux.
La finalul lunii trecute, inginerul Microsoft Andres Freud a descoperit backdoor-ul în cea mai recentă versiune a pachetului XZ Utils în timp ce investiga logările SSH neobișnuit de lente pe Debian Sid, o versiune în continuă evoluție a distribuției Linux.
Backdoor-ul a fost introdus de un contributor pseudonim la versiunea XZ 5.6.0, care a rămas prezentă în 5.6.1. Cu toate acestea, doar câteva distribuții Linux și versiuni care urmau o abordare de „bleeding edge” au fost afectate, majoritatea folosind o versiune anterioară, sigură a bibliotecii.
În urma descoperirii backdoor-ului, a fost demarat un efort de detectare și remediere, cu CISA propunând retrogradarea XZ Utils 5.4.6 Stable și căutarea și raportarea oricărei activități malitioase.
Binarly spune că abordarea urmată până acum în eforturile de atenuare a amenințării se bazează pe verificări simple precum potrivirea șirurilor de octeți, blocarea hash-urilor de fișiere și reguli YARA, ceea ce ar putea duce la rezultate eronate.
Această abordare poate declanșa o oarecare oboseală în alertă și nu ajută la detectarea backdoor-urilor similare în alte proiecte.
Pentru a rezolva această problemă, Binarly a dezvoltat un scanner dedicat care ar funcționa pentru biblioteca specifică și orice fișier care poartă același backdoor.
Metoda de detectare a Binarly folosește analiza statică a fișierelor binare pentru a identifica falsificarea tranzițiilor în Funcția Indirectă GNU (IFUNC).
Mai exact, scanner-ul examinează tranzițiile marcate ca fiind suspicioase în timpul implantării rezolvatoarelor IFUNC malitioase. Atributul IFUNC al compilatorului GCC permite dezvoltatorilor să creeze mai multe versiuni ale aceleiași funcții care sunt apoi selectate la momentul rulării pe baza unor criterii diferite, cum ar fi tipul procesorului.
„Una dintre tehnicile de bază folosite de backdoor-ul XZ pentru a obține controlul inițial în timpul execuției este atributul Funcție Indirectă GNU (IFUNC) pentru compilatorul GCC pentru a rezolva apelurile de funcții indirecte în timpul rulării,” explică Binarly.
„Codul backdoor implantat interceptează sau ‘agăță’ inițial execuția.”
„Modifică apelurile IFUNC pentru a înlocui o verificare ‘is_arch_extension_supported’, care ar trebui să invoce pur și simplu ‘cpuid’, pentru a insera un apel către ‘_get_cpuid’ care este exportat de fișierul obiect al payload-ului (adică liblzma_la-crc64-fast.o) și care apelează ‘_get_cpuid’ deformat care este implantat în codul afișat în figura de mai jos.”
Backdoor-ul exploatează acest mecanism modificând apelurile IFUNC pentru a intercepta sau agăța execuția, rezultând inserția de cod malitios.
Scanner-ul Binarly crește detectarea pe măsură ce scanează diverse puncte din lanțul de aprovizionare dincolo de proiectul XZ Utils, iar rezultatele sunt mult mai încrezătoare.
„Această detectare se bazează pe analiza comportamentală și poate detecta automat orice variantă dacă un backdoor similar este implantat în altă parte,” a declarat pentru BleepingComputer principalul cercetător în securitate și CEO al Binarly, Alex Matrosov.
„Chiar și după recompilare sau schimbări de cod, îl vom detecta,” a mai spus Matrosov pentru BleepingComputer.
Scanner-ul backdoor-ului este disponibil online la xz.fail, unde oamenii pot încărca fișierele lor binare pentru verificări gratuite nelimitate.
Red Hat avertizează asupra backdoor-ului din instrumentele XZ folosite de majoritatea distribuțiilor Linux
Malware-ul Linux GTPDOOR furtiv vizează rețelele operatorilor mobili
Malware-ul DinodasRAT vizează serverele Linux într-o campanie de spionaj
Serviciul Google Podcasts se închide în SUA săptămâna viitoare
O eroare Linux ‘wall’ veche de un deceniu ajută la crearea de prompturi false SUDO, furând parole
Leave a Reply