Am 29. März wurde berichtet, dass bösartiger Code in dem weit verbreiteten Paket XZ Utils entdeckt wurde, das in den wichtigsten Linux-Distributionen enthalten ist. Dieser Code ermöglichte den unbefugten SSH-Fernzugriff. Das GitHub-Projekt, das dieses Paket ursprünglich gehostet hat, ist jetzt gesperrt. Zum Glück hat die Open-Source-Software-Community (OSS) den Schadcode schnell erkannt. Es betraf nur die neuesten Versionen des Pakets, 5.6.0 und 5.6.1, die im letzten Monat veröffentlicht wurden. Die stabilen Versionen der meisten Linux-Distributionen waren nicht betroffen.
Die bösartige Nutzlast, die mit den betroffenen Versionen von XZ Utils geliefert wurde, war ausgeklügelt. Es lief im gleichen Prozess wie der OpenSSH-Server (SSHD) und modifizierte die Entschlüsselungsroutinen auf dem OpenSSH-Server. Dies ermöglichte es bestimmten Remote-Angreifern, die einen bestimmten privaten Schlüssel besitzen, beliebige Nutzdaten über SSH zu senden. Diese Payloads wurden vor dem Authentifizierungsschritt ausgeführt, wodurch praktisch der gesamte Computer des Opfers gekapert wurde.
Dieser Supply-Chain-Angriff war ein Schock für die OSS-Community, da XZ Utils als vertrauenswürdiges und geprüftes Projekt angesehen wurde. Der Angreifer hat sich über einen Zeitraum von mehreren Jahren einen glaubwürdigen Ruf als OSS-Entwickler erarbeitet. Sie verwendeten auch stark verschleierten Code, um der Entdeckung durch Code-Reviews zu entgehen. Im Anschluss an unsere erste Forschungskommunikation werden in diesem Beitrag die Grundlagen und Auswirkungen dieses Angriffs detailliert beschrieben.
Wie kann ich alle Assets in einer Multi-Cloud- oder Hybrid-Cloud-Umgebung vollständig inventarisieren?
Der Unified Security Posture Management (USPM) -Ansatz in Kombination mit der GraphQL-basierten Abfragesprache von Mondoo, MQL, ermöglicht es Ihnen, schnell Informationen über installierte Pakete auf Ihren Assets zu sammeln, einschließlich Container-Images, VMs, Bare-Metal-Servern... einfach alles.
Falls Sie cnquery noch nicht installiert haben, folgen Sie unseren Anleitung. Sobald Sie es installiert haben, können Sie Informationen über installierte Pakete aus einem Container-Image mit unserem Open-Source-Programm sammeln Abfrage-Pakete.
cnquery scan container 28f36ff61e16 -f cnquery-packs/core/mondoo-linux-incident-response.mql.yaml -o yaml
Sie können ein entferntes Ziel auch per SSH scannen:
cnquery scan ssh user@192.169.1.1 -f cnquery-packs/core/mondoo-linux-incident-response.mql.yaml -o yaml
Wie können wir garantieren, dass die Möglichkeit ausgeschlossen wird, dass neue Installationen, die durch die XZ-Sicherheitslücke (CVE-2024-3094) anfällig sind, jemals die Produktionsumgebung erreichen?
Nachdem Sie alle identifizierten Systeme gepatcht haben, stellen Sie sicher, dass keine neuen Systeme betroffene Versionen von XZ verwenden, wobei die Richtlinie zu cnspec hinzugefügt wurde.
Sie können ein entferntes Ziel auch per SSH scannen:
cnspec scan container 28f36ff61e16 -f cnspec-policies/core/mondoo-xz-vulnerability.mql.yaml
→ loaded configuration from /Users/atomic111/.config/mondoo/mondoo.yml using source default
→ using service account credentials
! Scanning with local bundles will switch into --incognito mode by default. Your results will not be sent upstream.
→ discover related assets for 1 asset(s)
28f36ff61e16 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 100% score: F
Asset: 28f36ff61e16
-------------------
Checks:
✕ Fail: Ensure no backdoored xz libs are installed
Scanned 1 asset
Debian GNU/Linux trixie/sid
F [0/100] 28f36ff61e16Wenn Sie über eine große Infrastruktur verfügen und schnelle Ergebnisse benötigen, nutzen Sie unsere Mondoo-Plattform, um Problembereiche innerhalb von Minuten zu identifizieren.
