De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen.
XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin.
Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd.
Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.