Backdoor в xz/liblzma (атака на цепочку поставок)
*
Утры.
Вчера ближе к ночи в сети начала вируситься картинка (скрин 1), подпись к картинке гласила - "объектный файл с бэкдором. добавлены некоторые «тестовые» данные в исходное дерево, которые unxz'ются и (dd) вырезаются определенным образом, которые передаются в деобфускатор, написанный на awk-скрипте, и результат снова получает unxz'".
Стало интересно, это часть чего? Явно же кусок не полный.
В итоге выяснилось что это часть бэкдора для
Откуда ноги выросли ? А у людей начал ssh тормозить, а точнее долго подключаться.
Сам ssh
Отравленные версии
https://github.com/tukaani-project/xz/releases/tag/v5.6.1
А обновленный
https://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89
*
Lzma — крайне распространенный продукт, который также юзается в очень многих прошивках
Score 10 из 10
#supplyCHAIN #xz
*
Утры.
Вчера ближе к ночи в сети начала вируситься картинка (скрин 1), подпись к картинке гласила - "объектный файл с бэкдором. добавлены некоторые «тестовые» данные в исходное дерево, которые unxz'ются и (dd) вырезаются определенным образом, которые передаются в деобфускатор, написанный на awk-скрипте, и результат снова получает unxz'".
Стало интересно, это часть чего? Явно же кусок не полный.
В итоге выяснилось что это часть бэкдора для
xz/liblzmaОткуда ноги выросли ? А у людей начал ssh тормозить, а точнее долго подключаться.
Сам ssh
xz/liblzma не использует, за то его используют всякие systemD, например для отправки логов.Отравленные версии
xz тут:https://github.com/tukaani-project/xz/releases/tag/v5.6.1
А обновленный
код бэкдора тутhttps://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89
*
Lzma — крайне распространенный продукт, который также юзается в очень многих прошивках
Score 10 из 10
#supplyCHAIN #xz
😱15👍5🔥2
Backdoor в xz/liblzma (атака на цепочку поставок)
part 3
Ну и кто добавил вредонос ?
*
А ноги растут из 2021 года, когда был создан акк
*
В 2022 году добавляет патч к
Вместе они парят голову Лассе Колину (разраб
Ребятам стали доверять и выдали креды к репозиторию.
*
В 2023 контактная почта в Google oss-fuzz меняется на
И коммиты понеслись....
*
В 2024 году ребята меняю URL
part 3
Ну и кто добавил вредонос ?
*
А ноги растут из 2021 года, когда был создан акк
JiaT75 на гите.JiaT75 делает коммит, заменяя Safe_fprint небезопасным вариантом, делая еще одну потенциальную дырку.*
В 2022 году добавляет патч к
xz и появляется еще один коммитер Jigar Kumar. Вместе они парят голову Лассе Колину (разраб
xz) и патч мерджится.Ребятам стали доверять и выдали креды к репозиторию.
*
В 2023 контактная почта в Google oss-fuzz меняется на
JiaT75, а не на Лассе Коллина.И коммиты понеслись....
*
В 2024 году ребята меняю URL
tukaani.org/xz/ на xz.tukaani.org/xz-utils/ который далее уводит на гит JiaT75. Отжали проект. Далее добавляются последнии коммиты уже с бэкдором и шлюхами🔥19😱4👍2
Backdoor в xz/liblzma (атака на цепочку поставок)
part 4
К врачу за мной будете.
Делать то что ? Ну во первых нужно проверить версию либы
если версияжрать таблетки (в arch linux прилетело), откатываемся до безопасной версии
А вот в последнем обновлении
*
UPDATE
Вот чекер (чекает
download checker
part 4
К врачу за мной будете.
Делать то что ? Ну во первых нужно проверить версию либы
xz -V
если версия
liblzma 5.6.0 или liblzma 5.6.1 - начинайте как я liblzma 5.4.1А вот в последнем обновлении
debian таки хорошая версия, безопасная.*
UPDATE
Вот чекер (чекает
apt\yum\zipper) и если версия забэкдоренная, предлагает поставить нормальную стабильнуюdownload checker
👍14🔥5😱2
This media is not supported in your browser
VIEW IN TELEGRAM
как реагирует SOC на фолс позитив )))
🔥69👌5👍3😱2
C2 Cloud
веб-инфраструктура C2
*
Anywhere Access: Reach the C2 Cloud from any location.
Multiple Backdoor Sessions: Manage and support multiple sessions effortlessly.
One-Click Backdoor Access: Seamlessly navigate to backdoors with a simple click.
Session History Maintenance: Track and retain complete command and response history for comprehensive analysis.
*
download
#CC
веб-инфраструктура C2
*
Anywhere Access: Reach the C2 Cloud from any location.
Multiple Backdoor Sessions: Manage and support multiple sessions effortlessly.
One-Click Backdoor Access: Seamlessly navigate to backdoors with a simple click.
Session History Maintenance: Track and retain complete command and response history for comprehensive analysis.
*
download
#CC
👍13🔥2👌1
Pentes LAB - SCCM (red team tactics)
*
Часть 0х0
Часть 0х1 - Recon and PXE
Часть 0х2 - Low user
Часть 0х3 - Admin User
*
#redteam #sccm
*
Часть 0х0
Часть 0х1 - Recon and PXE
Часть 0х2 - Low user
Часть 0х3 - Admin User
*
#redteam #sccm
🔥9
CVE-2024-3273
*
D-Link NAS версии:
Exploit + Tool
#dlink #exploit #NAS
*
D-Link NAS версии:
DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08
Exploit + Tool
#dlink #exploit #NAS
🔥14
CVE-2024-29269
*
Маршрутизаторы
*
Хантер показывает что есть 3307 девайсов
*
POC exploit
*
Маршрутизаторы
TELESQUARE TLR-2005KSH уязвимы для неаутентифицированных команд*
Хантер показывает что есть 3307 девайсов
*
POC exploit
🔥17👍1
CVE-2024-27316 Атака на http/2
*
Подробности уязвимости
*
Конкретно
CVE-2024-30255 (untested)
CVE-2024-31309 (untested)
CVE-2024-28182 (untested)
CVE-2024-2653 (untested)
CVE-2024-27919 (untested)
*
Usage:
*
POC exploit
*
Подробности уязвимости
*
Конкретно
CVE-2024-27316 влияет на другие CVE:CVE-2024-30255 (untested)
CVE-2024-31309 (untested)
CVE-2024-28182 (untested)
CVE-2024-2653 (untested)
CVE-2024-27919 (untested)
*
Usage:
go build
./cve-2024-27316 -t 127.0.0.1:80 -p http -i 8192
./cve-2024-27316 -t 127.0.0.1:443 -p https -i 8192*
POC exploit
🔥13