XZ-backdoor maakt remote code execution mogelijk

[Captain Kirk]

De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen.

XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin.

Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd.

Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda.

 

Bij toeval

De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."

 

bron: https://www.security.nl