j’ai posté ce site parce que je n’ai pas trouvé beaucoup d’articles en français sur cette affaire.
Vu le mode de l’attaque mêlant ingénierie technique et ingénierie sociale il y a énormément de logiciels ou même d’entreprises pouvant être vulnérables.
– une attaque qui aurait permis de toucher énormément de machines si elle n’avait pas été détectée à temps;
– pas détectable dans le code du projet lui-même, la faille apparaît au moment de l’empaquetage et est très bien cachée;
– des mesures ont été prises pour rendre le débuggage très difficile;
– attaque à la fois “technique” et “sociale” (l’attaquant a gagné la confiance du mainteneur de XZ, puis a tenté de pousser des distributions GNU/Linux à adopter les versions infectées);
– comme curl, xz est un bloc de base du monde moderne et est principalement développé par… une seule personne;
– l’attaque vient probablement d’un État ou d’un groupe de criminels assez gros.
Le serveur de cette petite saleté date de 2015, le machin peut même télécharger des plugins, l’origine du bidule est inconnue.
Si j’ai bien compris, ça impacte UZ Utils qui est utilisé pour compresser le package sshd, et le gars qui a découvert le truc s’est étonné de l’utilisation de ressources du daemon. Et permettrait donc de ssh en tant que root sur la machine impactée ?
Si j’ai pas compris à l’envers, c’est bien sale, restreindre la connexion en tant que root est la première chose que je fais habituellement quand je crée une machine (bon, la seconde, je crée mon user d’abord et l’ajoute à la liste des sudoers).
EDITH : Si j’ai mal compris j’aimerais bien qu’on me dise pourquoi.
EDITH 2 : Nan mais continuez à bas-voter sans répondre, ça va enterrer le sujet et personne ne verra les belles réponses en dessous qui expliquent pourquoi j’ai tort.
Et ça, c’en est une qui a été découverte à temps. Je me demande combien il y en a qui sont passées avant ça.
> openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.
… on en revient toujours au même point: **c’est la faute à systemd**.
8 comments
j’ai posté ce site parce que je n’ai pas trouvé beaucoup d’articles en français sur cette affaire.
Vu le mode de l’attaque mêlant ingénierie technique et ingénierie sociale il y a énormément de logiciels ou même d’entreprises pouvant être vulnérables.
L’image de l’article est un xkcd: [https://xkcd.com/2347/](https://xkcd.com/2347/)
Ce qu’il faut retenir :
– une attaque qui aurait permis de toucher énormément de machines si elle n’avait pas été détectée à temps;
– pas détectable dans le code du projet lui-même, la faille apparaît au moment de l’empaquetage et est très bien cachée;
– des mesures ont été prises pour rendre le débuggage très difficile;
– attaque à la fois “technique” et “sociale” (l’attaquant a gagné la confiance du mainteneur de XZ, puis a tenté de pousser des distributions GNU/Linux à adopter les versions infectées);
– comme curl, xz est un bloc de base du monde moderne et est principalement développé par… une seule personne;
– l’attaque vient probablement d’un État ou d’un groupe de criminels assez gros.
Cela me fait, un peu, penser à ça :
[https://www.generation-nt.com/actualites/rotajakiro-backdoor-linux-malware-1987808](https://www.generation-nt.com/actualites/rotajakiro-backdoor-linux-malware-1987808)
[https://itigic.com/fr/new-hidden-malware-for-linux-a-hidden-backdoor-for-years/](https://itigic.com/fr/new-hidden-malware-for-linux-a-hidden-backdoor-for-years/)
[https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/](https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/)
Le serveur de cette petite saleté date de 2015, le machin peut même télécharger des plugins, l’origine du bidule est inconnue.
Si j’ai bien compris, ça impacte UZ Utils qui est utilisé pour compresser le package sshd, et le gars qui a découvert le truc s’est étonné de l’utilisation de ressources du daemon. Et permettrait donc de ssh en tant que root sur la machine impactée ?
Si j’ai pas compris à l’envers, c’est bien sale, restreindre la connexion en tant que root est la première chose que je fais habituellement quand je crée une machine (bon, la seconde, je crée mon user d’abord et l’ajoute à la liste des sudoers).
EDITH : Si j’ai mal compris j’aimerais bien qu’on me dise pourquoi.
EDITH 2 : Nan mais continuez à bas-voter sans répondre, ça va enterrer le sujet et personne ne verra les belles réponses en dessous qui expliquent pourquoi j’ai tort.
Et ça, c’en est une qui a été découverte à temps. Je me demande combien il y en a qui sont passées avant ça.
D’après [le post qui a dévoilé le pot aux roses](https://openwall.com/lists/oss-security/2024/03/29/4):
> openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.
… on en revient toujours au même point: **c’est la faute à systemd**.
Pour compléter.
[https://www.wired.com/story/jia-tan-xz-backdoor/](https://www.wired.com/story/jia-tan-xz-backdoor/)