Ürün yazılımı güvenlik firması Binarly, CVE-2024-3094 olarak izlenen XZ UTILS tedarik zinciri saldırısından etkilenen Linux yürütülebilir ürünleri tespit etmek için ücretsiz bir çevrimiçi tarayıcı yayınladı.
CVE-2024-3094, birçok büyük Linux dağıtımında kullanılan bir dizi veri sıkıştırma aracı ve kütüphane olan XZ UTILS'de bir tedarik zinciri uzlaşmasıdır.
Geçen ayın sonlarında, Microsoft mühendisi Andres Freud, XZ UTILS paketinin en son sürümünde arka kapıyı keşfetti ve Linux dağılımının yuvarlanan bir sürümü olan Debian SID'de alışılmadık derecede yavaş SSH girişlerini araştırdı.
Arka kapı, 5.6.1'de mevcut olan XZ sürüm 5.6.0'a sahte bir katkıda bulundu. Bununla birlikte, bir "kanama kenarı" yükseltme yaklaşımını takiben sadece birkaç Linux dağıtım ve versiyonu etkilendi, çoğu daha erken, güvenli bir kütüphane sürümü kullanıldı.
Arka kapı keşfinin ardından bir tespit ve iyileştirme çabası başlatıldı ve CISA, XZ UTILS 5.4.6 kararlılığını ve avlanmayı ve herhangi bir kötü niyetli etkinliği bildirmeyi önerdi.
Binarly, tehdit azaltma çabalarında şimdiye kadar alınan yaklaşımın, bayt ip eşleştirme, doshh blok listesi ve yanlış pozitiflere yol açabilecek Yara kuralları gibi basit kontrollere dayandığını söylüyor.
Bu yaklaşım önemli uyarı yorgunluğunu tetikleyebilir ve diğer projelerde benzer arka planların tespit edilmesine yardımcı olmaz.
Bu sorunu ele almak için Binarly, belirli bir kütüphane ve aynı arka kapıyı taşıyan herhangi bir dosya için işe yarayacak özel bir tarayıcı geliştirdi.
Binarly'nin algılama yöntemi, GNU dolaylı fonksiyonundaki (IFUNC) geçişlerin kurutulmasını tanımlamak için ikili dosyaların statik analizini kullanır.
Özellikle tarayıcı, kötü niyetli IFUNC çözücülerinin implantasyonu sırasında şüpheli olarak işaretlenen geçişleri inceler. GCC derleyicisinin IFUNC özniteliği, geliştiricilerin, işlemci türü gibi çeşitli kriterlere göre daha sonra çalışma zamanında seçilen aynı işlevin birden çok sürümünü oluşturmasına olanak tanır.
Binarly, "XZ Backdoor tarafından yürütme sırasında başlangıç kontrolünü elde etmek için kullanılan temel tekniklerden biri, çalışma zamanında dolaylı işlev çağrılarını çözmek için GCC derleyicisinin GNU Dolaylı İşlev (IFUNC) özniteliğidir."
"İmplante edilen arka kapı kodu başlangıçta yürütmeyi engeller veya kancalar.
"IFUNC çağrılarını" IS_ARCH_EXTIENTE_SUPPORTED "kontrolünü değiştirmek için değiştirir, bu da yüklü nesne dosyası (yani, liblzma_la-ccc64-fast.o) tarafından dışa aktarılan ve hatalı olarak çağıran" _get_cpuid "e çağrı eklemeye çağırmalıdır. aşağıdaki şekilde gösterilen koda implante edilen _get_cpuid (). "
Arka kapı, IFUNC çağrılarını kesme veya kanca yürütme çağrılarını değiştirerek bu mekanizmayı kullanır ve kötü amaçlı kodun eklenmesine neden olur.
Binarly'nin tarayıcısı, sadece XZ UTILS projesinin ötesinde çeşitli tedarik zinciri noktaları için tarama yaparken algılamayı arttırır ve sonuçlar çok daha yüksek güvendir.
Binarly'nin baş güvenlik araştırmacısı ve CEO'su Alex Matrosov, "Bu tespit davranışsal analize dayanmaktadır ve benzer bir arka kapı başka bir yere implante ediliyorsa varyantları otomatik olarak algılayabilir." Dedi.
"Yeniden derleme veya kod değişikliklerinden sonra bile, onu tespit edeceğiz." Dedi.
Arka kapı tarayıcısı, insanların ikili dosyalarını sınırsız ücretsiz kontroller için yükleyebileceği XZ.fail adresinden çevrimiçi olarak kullanılabilir.
GÜNCELLEME 4/2 - Binarly, ihtiyaç duyanlar için toplu taramaları karşılamak için ücretsiz bir API yaptı.
Red Hat, çoğu Linux dağıtım tarafından kullanılan XZ araçlarında arka kapı konusunda uyarıyor
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
Dinodasrat kötü amaçlı yazılım, Casusluk Kampanyasında Linux sunucularını hedefler
Google Podcasts Hizmeti önümüzdeki hafta ABD'de kapanıyor
On yıllık Linux ‘Duvar’ hatası sahte sudo istemleri yapmaya yardımcı olur, şifreler çalmaya yardımcı olur
Kaynak: Bleeping Computer