Backdoor XZ: "Ini RCE, bukan bypass autentikasi; ada gerbang dan tidak bisa diputar ulang."

Analisis backdoor xz

• Filippo Valsorda mengamati beberapa orang yang melakukan rekayasa balik terhadap backdoor xz dan membagikan hasil analisis awal.
• Hook RSA_public_decrypt memverifikasi tanda tangan dari kunci Ed448 yang tetap terhadap host key server, lalu mengirimkan payload ke sistem.
• Ini adalah eksekusi kode jarak jauh (RCE), bukan bypass autentikasi, dan hanya bisa digunakan sekali serta tidak dapat diputar ulang.

Serangan rantai pasok

• Serangan ini mungkin merupakan serangan rantai pasok yang dijalankan dengan paling baik yang pernah dijelaskan secara publik, bersifat jahat, cakap, dan terjadi di upstream resmi dari pustaka yang digunakan secara luas.
• Serangan ini tampaknya ditemukan secara kebetulan, dan membuat orang bertanya-tanya berapa lama lagi hal ini akan berlangsung jika tidak demikian.

Ekstraksi dan verifikasi payload

• Payload diekstrak dari nilai N (kunci publik) yang diteruskan ke RSA_public_decrypt, diperiksa terhadap sidik jari sederhana, lalu didekripsi dengan kunci ChaCha20 yang tetap sebelum verifikasi tanda tangan Ed448.

Fungsi RSA_public_decrypt

• RSA_public_decrypt menjalankan fungsi verifikasi tanda tangan, yang namanya mungkin terdengar aneh.
• Verifikasi tanda tangan RSA melakukan operasi yang sama dengan enkripsi RSA.

Sertifikat OpenSSH dan kendali penyerang

• Kunci publik RSA_public_decrypt dapat dikendalikan oleh penyerang sebelum autentikasi dengan menggunakan sertifikat OpenSSH.
• Sertifikat OpenSSH menyertakan kunci publik penanda tangan, dan OpenSSH memeriksa tanda tangan saat parsing.

Skrip untuk mengirim kunci publik kustom ke sistem yang dibelakangi

• Melalui skrip yang ditulis oleh Keegan Ryan, dimungkinkan untuk menggunakan fungsi hook yang menempatkan kunci publik kustom ke dalam sertifikat agar mencapai sistem yang memiliki backdoor.

Pengaman pada backdoor

• Backdoor kembali ke perilaku normal jika payload salah atau tanda tangan kunci penyerang gagal diverifikasi.
• Ini berarti, kecuali ditemukan bug, tidak mungkin menulis pemindai yang andal dan dapat digunakan ulang melalui jaringan.

Opini GN⁺

• Backdoor seperti ini merupakan ancaman serius bagi keamanan sistem, terutama jika disisipkan ke pustaka yang digunakan secara luas, sehingga dampaknya bisa menjadi lebih besar.
• Fakta bahwa serangan ini ditemukan secara kebetulan mengungkap kelemahan dalam sistem keamanan dan menekankan betapa pentingnya pemantauan serta audit berkelanjutan.
• Artikel ini dapat membantu meningkatkan kesadaran tentang keamanan rantai pasok perangkat lunak serta memberi peringatan kepada pengembang dan administrator sistem.
• Untuk menghadapi ancaman keamanan seperti backdoor, disarankan menggunakan alat keamanan open source atau pemindai kerentanan. Misalnya, alat seperti OWASP ZAP atau Nessus dapat berguna.
• Saat mengadopsi teknologi baru atau open source, aspek keamanan harus ditinjau secara menyeluruh dan langkah-langkah yang tepat perlu diambil untuk melindungi sistem dari serangan semacam ini.