Xzbot: Catatan, Honeypot, dan Demo Eksploit untuk Backdoor xz

 (github.com/amlweems)
1 poin oleh GN⁺ 2024-04-02 | 1 komentar | Bagikan ke WhatsApp

Menjelajahi backdoor xz (CVE-2024-3094)

  • honeypot: mendeteksi upaya intrusi melalui server rentan palsu
  • ed448 patch: menambal liblzma.so agar menggunakan kunci publik ED448 milik sendiri
  • backdoor format: format payload backdoor
  • backdoor demo: CLI untuk memicu RCE dengan asumsi mengetahui kunci privat ED448

honeypot

  • Menyediakan patch openssh sederhana yang mencatat semua upaya koneksi dengan kunci publik N yang cocok dengan format backdoor
  • Upaya koneksi akan muncul di log sshd seperti berikut

ed448 patch

  • Backdoor menggunakan kunci publik ED448 yang di-hardcode untuk verifikasi tanda tangan dan dekripsi payload
  • Jika kunci ini diganti dengan milik sendiri, backdoor dapat dipicu
  • Unduh objek bersama libxzma yang berisi backdoor dan jalankan skrip patch untuk mengganti kunci

backdoor format

  • Backdoor dapat dipicu dengan terhubung menggunakan sertifikat SSH dan menyisipkan payload ke dalam nilai N dari kunci penandatanganan CA
  • Payload ini harus dienkripsi dan ditandatangani dengan kunci ED448 milik penyerang
  • Struktur payload mengikuti format yang telah ditentukan

backdoor demo

  • Menyediakan cara untuk terhubung ke server SSH yang rentan dan menjalankan perintah id > /tmp/.xz
  • Anda dapat memantau pemanggilan system() di server yang rentan dan mengamati perintah dieksekusi
  • Pohon proses sshd yang normal dan pohon proses melalui backdoor terlihat berbeda

Pendapat GN⁺

  • Artikel ini membahas penjelajahan mendalam terhadap kerentanan backdoor xz yang ditetapkan sebagai CVE-2024-3094, dan memberikan informasi yang sangat berguna bagi peneliti keamanan serta administrator sistem.
  • Dengan menunjukkan cara mendeteksi dan merespons backdoor, artikel ini dapat membantu melindungi sistem yang rentan.
  • Karena kerentanan seperti ini dapat melewati mekanisme keamanan fundamental sistem, pengembang perangkat lunak dan profesional keamanan perlu memahami jenis kerentanan ini serta mengambil langkah pencegahan.
  • Alat atau proyek keamanan lain dengan fungsi serupa meliputi OpenSSH, Fail2Ban, dan Snort, yang dapat menyediakan lapisan pertahanan tambahan untuk melindungi sistem.
  • Karena artikel ini memberikan rincian teknis tentang kerentanan baru, hal ini dapat membantu komunitas keamanan mengembangkan strategi pertahanan yang lebih kuat.

Bacaan terkait

1 komentar

 
GN⁺ 2024-04-02
Opini Hacker News
  • Ringkasan komentar Hacker News:
    • Ada catatan menarik tentang kerentanan RCE (Remote Code Execution) yang memerlukan kunci privat milik penyerang. Koreksi: tautannya sempat disalahpahami, dan komentar asli dibiarkan sebagai catatan.

      • Kerentanan ini secara ironis tampaknya dibuat dengan kesadaran keamanan. Selain itu, terlihat bahwa orang yang meng-commit backdoor tersebut juga baru-baru ini berkontribusi ke kernel dalam thread email yang sama.

    • Kekaguman terhadap komunitas hacker, terutama amlweems, yang dengan cepat membuat dan mendokumentasikan POC (Proof of Concept). Koreksi: langkah berikutnya adalah mencari cara menemukan distro yang rentan dan memantau probing aktif terhadap server SSH.

      • Pujian atas respons dan analisis cepat dari komunitas.

    • Ada rasa ingin tahu apakah PoC pernah diuji terhadap alat deteksi perilaku anomali seperti Carbon Black, AWS GuardDuty, SysDig, dan lain-lain, serta kemungkinan bahwa ini bisa cepat terdeteksi melalui alat tersebut.

      • Rasa ingin tahu tentang pengujian PoC dengan alat deteksi perilaku anomali.

    • Pertanyaan apakah ini tetap bekerja tanpa koneksi SSH. Daftar string di GitHub mencakup "DISPLAY" dan "WAYLAND_DISPLAY".

      • Spekulasi tentang cakupan dampak tambahan karena adanya string yang tidak berkaitan langsung dengan SSH.

    • Pertanyaan tentang bagaimana patch diterapkan ke openssh_RSA_verify saat liblzma.so.5.6.1 dimuat ke memori, tanpa memerlukan openssh.patch saat runtime.

      • Pertanyaan teknis tentang proses eksploitasi kerentanan saat runtime.

    • Fakta bahwa serangan yang berhasil tidak meninggalkan log. Ini memunculkan pertanyaan apakah penyerang bisa mengeksekusi perintah arbitrer tanpa meninggalkan jejak log.

      • Kekhawatiran bahwa serangan bisa dilakukan tanpa menghasilkan log.

    • Opini tentang bagaimana para penanggung jawab proyek xz, OpenSSH, dan Linux menanggapi kerentanan ini, serta bagaimana mencegah kerentanan semacam ini di masa depan.

      • Ketertarikan pada respons para penanggung jawab proyek dan langkah pencegahan di masa depan.

    • Diskusi tentang aktivitas spionase tingkat negara dan backdoor. Amerika Serikat cenderung lebih menyukai intervensi perangkat keras, sementara negara lain seperti Israel berfokus pada backdoor perangkat lunak jangka panjang.

      • Analisis strategi backdoor berdasarkan negara.

    • Pertanyaan mengapa menggunakan ED448, meskipun biasanya curve 25519 lebih direkomendasikan.

      • Pertanyaan mengenai pemilihan algoritma kriptografi tertentu.