Xzbot: xz बैकडोर के लिए नोट्स, honeypot और exploit डेमो

 (github.com/amlweems)
1 पॉइंट द्वारा GN⁺ 2024-04-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें

xz बैकडोर की पड़ताल (CVE-2024-3094)

  • honeypot: नकली vulnerable server के ज़रिए घुसपैठ के प्रयासों का पता लगाना
  • ed448 patch: liblzma.so को अपनी ED448 public key इस्तेमाल करने के लिए patch करना
  • backdoor format: बैकडोर payload का फ़ॉर्मैट
  • backdoor demo: यह मानकर RCE ट्रिगर करने वाला CLI कि ED448 private key ज्ञात है

honeypot

  • एक सरल openssh patch प्रदान किया गया है जो public key N के बैकडोर फ़ॉर्मैट से मेल खाने वाले सभी connection attempts को लॉग करता है
  • connection attempts sshd logs में इस तरह दिखाई देते हैं

ed448 patch

  • बैकडोर signature verification और payload decryption के लिए hardcoded ED448 public key का उपयोग करता है
  • इस key को अपनी key से बदलने पर बैकडोर ट्रिगर किया जा सकता है
  • बैकडोर शामिल libxzma shared object डाउनलोड करें और key बदलने के लिए patch script चलाएँ

backdoor format

  • SSH certificate का उपयोग करके connect किया जा सकता है और CA signing key के N value में payload शामिल करके बैकडोर ट्रिगर किया जा सकता है
  • इस payload को हमलावर की ED448 key से encrypt और sign किया जाना चाहिए
  • payload structure बताए गए फ़ॉर्मैट का पालन करता है

backdoor demo

  • vulnerable SSH server से connect करने और id > /tmp/.xz command चलाने का तरीका दिया गया है
  • vulnerable server पर system() call को मॉनिटर किया जा सकता है और command के execute होने को देखा जा सकता है
  • सामान्य sshd process tree और बैकडोर के ज़रिए बनी process tree अलग दिखती हैं

GN⁺ की राय

  • यह लेख CVE-2024-3094 के रूप में चिन्हित xz बैकडोर vulnerability की गहन पड़ताल करता है और security researchers तथा system administrators के लिए बेहद उपयोगी जानकारी देता है।
  • बैकडोर का पता लगाने और उससे निपटने के तरीके बताकर, यह vulnerable systems की सुरक्षा में मदद कर सकता है।
  • क्योंकि ऐसी vulnerabilities सिस्टम के बुनियादी security mechanisms को bypass कर सकती हैं, software developers और security experts को इस तरह की vulnerabilities को समझने और रोकने के लिए कदम उठाने चाहिए।
  • समान कार्यक्षमता वाले अन्य security tools या projects में OpenSSH, Fail2Ban, Snort आदि शामिल हैं, जो सिस्टम की सुरक्षा के लिए अतिरिक्त defense layers दे सकते हैं।
  • यह लेख नई vulnerability के technical details देता है, जिससे security community को अधिक मज़बूत defense strategies विकसित करने में मदद मिल सकती है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-04-02
Hacker News की राय
  • Hacker News टिप्पणियों का सार:
    • उस RCE (Remote Code Execution) भेद्यता पर दिलचस्प टिप्पणी जिसके लिए हमलावर की private key चाहिए। सुधार: लिंक को गलत समझा गया था, और मूल टिप्पणी रिकॉर्ड के लिए छोड़ दी गई है।

      • यह भेद्यता विडंबना यह है कि सुरक्षा-सचेत लगती है। साथ ही, उसी mail thread में यह भी सामने आया कि backdoor commit करने वाले व्यक्ति ने हाल ही में kernel में भी योगदान दिया था।

    • hacker community, खासकर amlweems, द्वारा POC (Proof of Concept) को तेज़ी से लागू करने और दस्तावेज़ित करने पर प्रशंसा। सुधार: अगला कदम यह पता लगाना है कि vulnerable distributions कैसे खोजी जाएँ और SSH server पर सक्रिय probing की निगरानी कैसे की जाए।

      • समुदाय की तेज़ प्रतिक्रिया और विश्लेषण के लिए प्रशंसा।

    • जिज्ञासा कि क्या PoC को abnormal behavior detect करने वाले tools (Carbon Black, AWS GuardDuty, SysDig आदि) के खिलाफ आज़माया गया है, और क्या इससे इसे जल्दी detect किए जाने की संभावना है।

      • abnormal behavior detection tools के साथ PoC testing को लेकर जिज्ञासा।

    • सवाल कि क्या यह SSH connection के बिना भी काम करता था। GitHub पर strings की सूची में "DISPLAY" और "WAYLAND_DISPLAY" शामिल हैं।

      • SSH से सीधे संबंधित न लगने वाली strings की मौजूदगी के कारण अतिरिक्त प्रभाव-क्षेत्र को लेकर अटकलें।

    • सवाल कि runtime पर openssh.patch की ज़रूरत के बिना, जब liblzma.so.5.6.1 memory में load हुआ तो उसने openssh_RSA_verify पर patch कैसे लागू किया।

      • runtime पर exploit की प्रक्रिया को लेकर तकनीकी सवाल।

    • यह बिंदु कि सफल attack कोई logs नहीं छोड़ता। इससे यह सवाल उठा कि क्या हमलावर logs छोड़े बिना arbitrary commands चला सकता था।

      • logs बने बिना attack संभव होने पर चिंता।

    • xz, OpenSSH और Linux projects के maintainers ने इस भेद्यता पर कैसे प्रतिक्रिया दी, और भविष्य में ऐसी भेद्यताओं को कैसे रोका जा सकता है, इस पर राय।

      • project maintainers की प्रतिक्रिया और भविष्य की रोकथाम में रुचि।

    • nation-state स्तर की spying activity और backdoor पर चर्चा। अमेरिका hardware intervention को प्राथमिकता देता है, जबकि Israel जैसे दूसरे देश दीर्घकालिक software backdoors पर ध्यान देते हैं।

      • देशों के अनुसार backdoor रणनीतियों का विश्लेषण।

    • ED448 के उपयोग के कारण पर सवाल, जबकि आम तौर पर curve 25519 की सिफारिश की जाती है।

      • किसी खास cryptographic algorithm के चयन पर सवाल।