xz-utils backdoor situation (CVE-2024-3094)

jeanmarie CC BY-NC-SA 1/04/2024

Vous avez suivi l’histoire avec la librairie #XZ ?
C’est Mission Impossible IRL (ou le poisson d’avril le plus dingue de l’histoire des poissons d’avril)

Rémy sur Mastodon

Ça fait deux jours que je suis fasciné par ce qui se passe dans le monde de la sécurité informatique, autour de la backdoor XZ. Je vais essayer de vous l’expliquer, ça va être technique, mais c’est important.
Pour Internet, c’est l’équivalent d’un gros astéroïde qui serait passé à 5000km de la Terre. Pas d’impact, pas de dégâts directs, mais on aurait pu tous y passer et personne ne l’a vu venir.
Je vais chercher à vulgariser un maximum, tout en donnant des liens vers les sources directes, qui sont souvent très techniques et en anglais.

Le fil complet :
▻https://mamot.fr/@rusty@piaille.fr/112190942190403821

https://imgs.xkcd.com/comics/dependency.png

#cybersecurité #hacking #InfoSec #backdoor #OpenSSH

jeanmarie CC BY-NC-SA

Sandburg @sandburg CC BY-SA 1/04/2024

Merci @jeanmarie , je remets mon texte.
Une partie de l’attaque grâce à une modif du code opensource qui passe pour une amélioration inoffensive pour assouplir le link. L’autre partie le jour de l’attaque.
J’ai pris mes premières infos dans la CVE, mais ca dit quasi rien, mais surtout dans cette première ré-analyse d’un gars que je suis.
Actuellement, ca n’a touché que les distribs qui push les modifs en avant première (Fedora…).
▻https://www.youtube.com/watch?v=jqjtNDtbDNI
▻https://www.youtube.com/watch?v=gyOz9s4ydho
La ref de XKCD
▻https://seenthis.net/messages/872079

Sandburg @sandburg CC BY-SA
RastaPopoulos @rastapopoulos CC BY-NC 1/04/2024

le code de XZ ne contient pas la backdoor. Jia Tan l’a ajouté dans le processus de packaging des nouvelles versions, via des fichiers de test. Le code de XZ est propre, mais la version qui sera intégrée dans les distributions Linux contient la backdoor. C’est très malin, plutôt impressionnant.

RastaPopoulos @rastapopoulos CC BY-NC

b_b PUBLIC DOMAIN 1/04/2024

Je lisais hier une récap assez complète en anglais : ▻https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

  if test "x$GCC" != 'xyes' > /dev/null 2>&1;then
exit 0
fi
if test "x$CC" != 'xgcc' > /dev/null 2>&1;then
exit 0
fi
LDv=$LD" -v"
if ! $LDv 2>&1 | grep -qs 'GNU ld' > /dev/null 2>&1;then
exit 0

b_b PUBLIC DOMAIN

BigGrizzly @biggrizzly CC BY-NC-SA 2/04/2024

Ce matin, la manjaro que j’utilise en desktop me propose de basculer de 5.6.0 en 5.6.1. C’est ballot, les deux sont vérolées. :-/

BigGrizzly @biggrizzly CC BY-NC-SA
Monolecte 😷🤬 @monolecte CC BY-NC-SA 2/04/2024

Tu parles de Linux-base ?

Monolecte 😷🤬 @monolecte CC BY-NC-SA
BigGrizzly @biggrizzly CC BY-NC-SA 2/04/2024

Je parle de Manjaro :
https://pixelfed.zoo-logique.org/storage/m/_v2/493151427756716033/c6a394f69-21cf85/ksgYDfLvFbvU/52hev7W2BnO1PXgOXHotAAMLBhd0ucXTZI7CU9W8.png

BigGrizzly @biggrizzly CC BY-NC-SA
jeanmarie @jeanmarie CC BY-NC-SA 2/04/2024

Timeline of the xz open source attack
This post is a detailed timeline that I have constructed of the social engineering aspect of the attack, which appears to date back to late 2021. Key events have bold times.
▻https://research.swtch.com/xz-timeline

jeanmarie @jeanmarie CC BY-NC-SA
EricW @ericw CC BY-SA 2/04/2024

Dès fois ça a du bon d’avoir encore d’antiques distribs : ma station audio est encore sous ubuntu 20.04, et xz est en version 5.2.4. Et mon ordi portable du taf sous debian 11 a la version 5.2.5.

EricW @ericw CC BY-SA
Sombre @sombre CC BY-NC-SA 3/04/2024

Est-ce qu’avec Xubuntu, on prend des risques ?

Sombre @sombre CC BY-NC-SA
BigGrizzly @biggrizzly CC BY-NC-SA 3/04/2024

Tu ne prends des risques que si ta machine a son accès SSH ouvert sur le monde et que ta distribution intègre systématiquement les dernières nouveautés.
Je ne crois pas que Xubuntu ait ce genre de prétention.
Manjaro a ces prétentions, et les distributions Debian « unstable » ou « testing » aussi.

BigGrizzly @biggrizzly CC BY-NC-SA
Sombre @sombre CC BY-NC-SA 3/04/2024

De ce que je viens de comprendre en lisant ici ou ailleurs, ce sont surtout les machines qui ont fonction de serveur web qui présentent des risques. Donc, non, mes antiques ordinosaures ne craignent pas grand chose.
Sinon, la faille est déjà mentionnée sur le « french wikipedia ».
▻https://fr.wikipedia.org/wiki/XZ_Utils#Attaque_par_porte_d%C3%A9rob%C3%A9e

Sombre @sombre CC BY-NC-SA
BigGrizzly @biggrizzly CC BY-NC-SA 3/04/2024

SSH, c’est un protocole d’administration. La machine derrière peut servir à pleins d’autres choses qu’à servir du web.

BigGrizzly @biggrizzly CC BY-NC-SA
Gastlag @gastlag CC BY-SA 3/04/2024

reflections on distrusting xz
▻https://joeyh.name/blog/entry/reflections_on_distrusting_xz
Was the ssh backdoor the only goal that “Jia Tan” was pursuing with their multi-year operation against xz?
I doubt it, and if not, then every fix so far has been incomplete, because everything is still running code written by that entity.
If we assume that they had a multilayered plan, that their every action was calculated and malicious, then we have to think about the full threat surface of using xz. This quickly gets into nightmare scenarios of the “trusting trust” variety.

Gastlag @gastlag CC BY-SA
Gastlag @gastlag CC BY-SA 3/04/2024

Le principal développeur de XZ déclarait en 2022
▻https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
[..] I haven’t lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things. Recently I’ve worked off-list a bit with Jia Tan on XZ Utils and perhaps he will have a bigger role in the future, we’ll see. [..] It’s also good to keep in mind that this is an unpaid hobby project.

Gastlag @gastlag CC BY-SA

Écrire un commentaire

xz-utils backdoor situation (CVE-2024-3094) · GitHub

/223949d5a074ebc3dce9ee78baad9e27