Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
DJI Dock 2: Everything You Need to Know
Introducing DJI Dock 2, the next step in remote drone technology. With unique features and capabilities, it's poised to transform workflows for emergency responders, construction management, surveying, and asset inspection.
Join Irving Zhang, Solutions Engineer…
Join Irving Zhang, Solutions Engineer…
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
TLDR:
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据,然而在编译脚本(注1)中,在特定条件下会从这两个文件中读取内容对编译结果进行修改,致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示,注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数,致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。(具体细节还在分析中)
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响,最直接的目标就是 sshd(注2),使得攻击者可以构造特定请求,绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试,攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是,注入的代码似乎存在某种 Bug,导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了,顺藤摸瓜发现了这个阴谋并报告给 oss-security,致使此事败漏。
如果不是因为这个 Bug,那么这么后门有不低的概率被并入主流发行版的 stable 版本,恐怕会是一件前所未有的重大安全事件。
另外从一些细节能看出来攻击者非常用心:
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入,以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu),有着定期进行 internet breaks 的习惯,而且最近正在进行,导致这些变动他并没有 review 的机会,即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。
更多的细节还在被分析中,目前 GitHub 已经关停了整个 xz 项目。
注1:仓库中的构建脚本没有问题,但是随新版本发布的源代码打包(tarball)中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。
注2:据其他来源,受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖,不是 sshd 的直接依赖。
https://x.com/Blankwonder/status/1773921956615877110?s=20
X (formerly Twitter)
Yachen Liu (@Blankwonder) on X
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接
概括:
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接
👍8❤2👎1👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤪23😁8🤮5❤1👍1
&'a ::rynco::UntitledChannel
TLDR: 刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。 概括: 1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接 commit 代码的权利。 2. JiaT75 在最近几个月的一次 commit 中,悄悄加入了 bad-3-corrupt_lzma2.xz 和 good…
XZ细节(有我就更下去)
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
https://gynvael.coldwind.pl/?lang=en&id=782
https://doublepulsar.com/inside-the-failed-attempt-to-backdoor-ssh-globally-that-got-caught-by-chance-bbfe628fafdd
https://rigor-mortis.nmrc.org/@simplenomad/112184869681420177
https://research.swtch.com/xz-timeline
https://research.swtch.com/xz-script
https://twitter.com/bl4sty/status/1776691497506623562
https://securelist.com/xz-backdoor-story-part-1/112354/
https://www.ithome.com.tw/news/162292
https://youtu.be/Q6ovtLdSbEA
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
https://gynvael.coldwind.pl/?lang=en&id=782
https://doublepulsar.com/inside-the-failed-attempt-to-backdoor-ssh-globally-that-got-caught-by-chance-bbfe628fafdd
https://rigor-mortis.nmrc.org/@simplenomad/112184869681420177
https://research.swtch.com/xz-timeline
https://research.swtch.com/xz-script
https://twitter.com/bl4sty/status/1776691497506623562
https://securelist.com/xz-backdoor-story-part-1/112354/
https://www.ithome.com.tw/news/162292
https://youtu.be/Q6ovtLdSbEA
boehs.org
Everything I Know About the XZ Backdoor
Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries
❤4
This media is not supported in your browser
VIEW IN TELEGRAM
开车的这TM绝对是来捣乱的🤡
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳10🌭3🗿1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10💅3❤2👍1🤡1
Forwarded from MJJ出征
搬瓦工46刀补货啦~
Basic VPS - Self-managed - SPECIAL 10G KVM PROMO V5 - LOS ANGELES - CN2 GIA LIMITED EDITION
SSD: 10 GB RAID-10
RAM: 512 MB
CPU: 1x Intel Xeon
Transfer: 500 GB/mo
Link speed: 1 Gigabit
Location: Los Angeles, China Telecom IDC
China Telecom CN2 GIA
Enterprise grade transport for China Unicom provided by China Telecom
Direct peering with Google
年付$46.6美金(折扣码下)
优惠码:
https://bandwagonhost.com/aff.php?aff=60379&pid=94
瓦工防墙镜像站:
温馨提示:使用网页自动保存密码的只对应域名,所以必须牢记小号账号密码,当然也可以作为验证是否为瓦工镜像网站(肯定没问题的)
https://bwh1.net/aff.php?aff=60379&pid=94
https://bwh8.net/aff.php?aff=60379&pid=94
https://bwh88.net/aff.php?aff=60379&pid=94
https://bwh89.net/aff.php?aff=60379&pid=94
https://bwh81.net/aff.php?aff=60379&pid=94
选购指南:不管你是新老用户,请使用全新邮箱登录注册搬瓦工(后期不要或者出掉会很便利)常见邮箱申请有微软outlook Gmail icloud申请
循环折扣码(优惠码):
BWHNCXNVXV(6.81%)
有何区别:92刀(2023款92.5刀相比24款92.3刀 24款便宜0.2刀精准刀法😅)是46刀和89刀等流量配置都有翻倍,也有不知名75刀。后期不够用可以升级到The Plan v2 也就是110刀。
此款46刀是瓦工里CN2GIA在售最低端性价比档次。但流量比较小适合个人食用。没DMIT36刀可考虑此
Basic VPS - Self-managed - SPECIAL 10G KVM PROMO V5 - LOS ANGELES - CN2 GIA LIMITED EDITION
SSD: 10 GB RAID-10
RAM: 512 MB
CPU: 1x Intel Xeon
Transfer: 500 GB/mo
Link speed: 1 Gigabit
Location: Los Angeles, China Telecom IDC
China Telecom CN2 GIA
Enterprise grade transport for China Unicom provided by China Telecom
Direct peering with Google
年付$46.6美金(折扣码下)
优惠码:
BWHNCXNVXV
选购链接:(主站)https://bandwagonhost.com/aff.php?aff=60379&pid=94
瓦工防墙镜像站:
温馨提示:使用网页自动保存密码的只对应域名,所以必须牢记小号账号密码,当然也可以作为验证是否为瓦工镜像网站(肯定没问题的)
https://bwh1.net/aff.php?aff=60379&pid=94
https://bwh8.net/aff.php?aff=60379&pid=94
https://bwh88.net/aff.php?aff=60379&pid=94
https://bwh89.net/aff.php?aff=60379&pid=94
https://bwh81.net/aff.php?aff=60379&pid=94
选购指南:不管你是新老用户,请使用全新邮箱登录注册搬瓦工(后期不要或者出掉会很便利)常见邮箱申请有微软outlook Gmail icloud申请
循环折扣码(优惠码):
BWHCCNCXVV (6.78%)有何区别:92刀(2023款92.5刀相比24款92.3刀 24款便宜0.2刀精准刀法😅)是46刀和89刀等流量配置都有翻倍,也有不知名75刀。后期不够用可以升级到The Plan v2 也就是110刀。
此款46刀是瓦工里CN2GIA在售最低端性价比档次。但流量比较小适合个人食用。没DMIT36刀可考虑此
🤡18⚡13😁9🔥6❤3