CVE-2024-28085 - Смешная дырка в Linux 😜
*
Дырке 11 лет, дырка есть в обновлении которое вышло 27 марта 2024 года.
Дырка проверена на
Но есть ньюанс, нужно уже быть на сервере.
*
В общем почитайте, поддельные sudo запросы
*
POC
#linux #sudo
*
Дырке 11 лет, дырка есть в обновлении которое вышло 27 марта 2024 года.
Дырка проверена на
Ubuntu 22.04 LTS и Debian 12.5Но есть ньюанс, нужно уже быть на сервере.
*
В общем почитайте, поддельные sudo запросы
*
POC
#linux #sudo
👍10
Backdoor в xz/liblzma (атака на цепочку поставок)
*
Утры.
Вчера ближе к ночи в сети начала вируситься картинка (скрин 1), подпись к картинке гласила - "объектный файл с бэкдором. добавлены некоторые «тестовые» данные в исходное дерево, которые unxz'ются и (dd) вырезаются определенным образом, которые передаются в деобфускатор, написанный на awk-скрипте, и результат снова получает unxz'".
Стало интересно, это часть чего? Явно же кусок не полный.
В итоге выяснилось что это часть бэкдора для
Откуда ноги выросли ? А у людей начал ssh тормозить, а точнее долго подключаться.
Сам ssh
Отравленные версии
https://github.com/tukaani-project/xz/releases/tag/v5.6.1
А обновленный
https://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89
*
Lzma — крайне распространенный продукт, который также юзается в очень многих прошивках
Score 10 из 10
#supplyCHAIN #xz
*
Утры.
Вчера ближе к ночи в сети начала вируситься картинка (скрин 1), подпись к картинке гласила - "объектный файл с бэкдором. добавлены некоторые «тестовые» данные в исходное дерево, которые unxz'ются и (dd) вырезаются определенным образом, которые передаются в деобфускатор, написанный на awk-скрипте, и результат снова получает unxz'".
Стало интересно, это часть чего? Явно же кусок не полный.
В итоге выяснилось что это часть бэкдора для
xz/liblzmaОткуда ноги выросли ? А у людей начал ssh тормозить, а точнее долго подключаться.
Сам ssh
xz/liblzma не использует, за то его используют всякие systemD, например для отправки логов.Отравленные версии
xz тут:https://github.com/tukaani-project/xz/releases/tag/v5.6.1
А обновленный
код бэкдора тутhttps://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89
*
Lzma — крайне распространенный продукт, который также юзается в очень многих прошивках
Score 10 из 10
#supplyCHAIN #xz
😱15👍5🔥2
Backdoor в xz/liblzma (атака на цепочку поставок)
part 3
Ну и кто добавил вредонос ?
*
А ноги растут из 2021 года, когда был создан акк
*
В 2022 году добавляет патч к
Вместе они парят голову Лассе Колину (разраб
Ребятам стали доверять и выдали креды к репозиторию.
*
В 2023 контактная почта в Google oss-fuzz меняется на
И коммиты понеслись....
*
В 2024 году ребята меняю URL
part 3
Ну и кто добавил вредонос ?
*
А ноги растут из 2021 года, когда был создан акк
JiaT75 на гите.JiaT75 делает коммит, заменяя Safe_fprint небезопасным вариантом, делая еще одну потенциальную дырку.*
В 2022 году добавляет патч к
xz и появляется еще один коммитер Jigar Kumar. Вместе они парят голову Лассе Колину (разраб
xz) и патч мерджится.Ребятам стали доверять и выдали креды к репозиторию.
*
В 2023 контактная почта в Google oss-fuzz меняется на
JiaT75, а не на Лассе Коллина.И коммиты понеслись....
*
В 2024 году ребята меняю URL
tukaani.org/xz/ на xz.tukaani.org/xz-utils/ который далее уводит на гит JiaT75. Отжали проект. Далее добавляются последнии коммиты уже с бэкдором и шлюхами🔥19😱4👍2
Backdoor в xz/liblzma (атака на цепочку поставок)
part 4
К врачу за мной будете.
Делать то что ? Ну во первых нужно проверить версию либы
если версияжрать таблетки (в arch linux прилетело), откатываемся до безопасной версии
А вот в последнем обновлении
*
UPDATE
Вот чекер (чекает
download checker
part 4
К врачу за мной будете.
Делать то что ? Ну во первых нужно проверить версию либы
xz -V
если версия
liblzma 5.6.0 или liblzma 5.6.1 - начинайте как я liblzma 5.4.1А вот в последнем обновлении
debian таки хорошая версия, безопасная.*
UPDATE
Вот чекер (чекает
apt\yum\zipper) и если версия забэкдоренная, предлагает поставить нормальную стабильнуюdownload checker
👍14🔥5😱2
This media is not supported in your browser
VIEW IN TELEGRAM
как реагирует SOC на фолс позитив )))
🔥69👌5👍3😱2
C2 Cloud
веб-инфраструктура C2
*
Anywhere Access: Reach the C2 Cloud from any location.
Multiple Backdoor Sessions: Manage and support multiple sessions effortlessly.
One-Click Backdoor Access: Seamlessly navigate to backdoors with a simple click.
Session History Maintenance: Track and retain complete command and response history for comprehensive analysis.
*
download
#CC
веб-инфраструктура C2
*
Anywhere Access: Reach the C2 Cloud from any location.
Multiple Backdoor Sessions: Manage and support multiple sessions effortlessly.
One-Click Backdoor Access: Seamlessly navigate to backdoors with a simple click.
Session History Maintenance: Track and retain complete command and response history for comprehensive analysis.
*
download
#CC
👍13🔥2👌1