Linux got wrecked by backdoor attack

Fireship
1 Apr 202404:32

Summary

TLDR近期,开源界因一起针对XZ压缩工具的复杂攻击而陷入恐慌。这次攻击影响了多个Linux发行版,如Debian CI和openSusa,幸运的是,Temple OS未受影响。攻击者通过后门在用户机器上执行代码,这是一次严重的供应链攻击。研究人员仍在解析攻击细节,但已知恶意代码通过liblzma库注入。幸运的是,软件工程师Andre Frin偶然发现了这一问题,避免了可能的数十亿美元损失。目前,攻击者身份不明,可能是个人或国家支持的黑客集团。

Takeaways

  • 🚨 最近开源界因一起针对XZ压缩工具的复杂攻击而陷入恐慌,该攻击影响了一些Linux发行版,如Debian CI、openSUSE等。
  • 🌟 Temple OS未受影响,可能是这次供应链攻击中唯一幸免的操作系统。
  • 🔒 该攻击被认为是有史以来最精心策划的供应链攻击之一,通过秘密后门让攻击者能够无限制地在受影响的机器上执行代码。
  • 📈 该安全漏洞的威胁等级被评为10.0,甚至高于著名的Heartbleed和Shellshock漏洞。
  • 🔍 XZ工具基于LZMA算法,包含命令行工具和API库liblzma,广泛安装于Linux系统中。
  • 🛠️ 恶意代码隐藏在liblzma的tarball中,通过一系列混淆手段在构建时注入预构建对象。
  • 🔑 任何发送到后门的有效载荷都必须由攻击者的私钥签名,这意味着只有攻击者才能发送有效载荷。
  • 🤔 目前尚不清楚攻击者的真实身份,可能是个人或国家支持的黑客组织。
  • 👨‍💻 一位名叫Andre Marin的安全工程师在使用Debian不稳定分支时意外发现了这一问题,帮助世界避免了可能的数十亿美元损失。
  • 🧐 攻击者可能在长时间内积累信任后,才实施了这次攻击,目前尚不清楚攻击的真正动机和目的。

Q & A

  • 最近开源界发生的安全事件是什么?

    -最近开源界发生的安全事件是一次针对XZ压缩工具的精心策划的攻击,该攻击已经被分发到生产环境,影响了Debian CI、open Susa等Linux发行版。

  • 这次安全事件的严重性如何?

    -这次安全事件的严重性非常高,被认为是有史以来执行得最好的供应链攻击之一,其威胁等级达到了午夜危机10.0级别,甚至高于著名的Heartbleed、Log for Shell和Shell Shock等漏洞。

  • 受影响的Linux发行版有哪些?

    -受影响的Linux发行版主要包括Debian CI、open Susa等,但幸运的是,Temple OS并未受到影响。

  • XZ压缩工具的作用是什么?

    -XZ压缩工具是一个基于LZMA算法的压缩和解压缩流的工具,它包含一个命令行工具和API库liblzma,许多其他软件依赖这个库来实现压缩功能。

  • SSHD与XZ压缩工具有什么关系?

    -SSHD(Secure Shell Daemon)是一个监听SSH连接的工具,它依赖于XZ压缩工具中的liblzma库来实现压缩功能。

  • 恶意代码是如何被隐藏和注入的?

    -恶意代码通过一系列混淆手段隐藏在liblzma的tarballs中,它不在源代码中,而是在构建时注入一个伪装成测试文件的预构建对象,修改lzma代码的特定部分,从而允许攻击者拦截和修改与该库交互的数据。

  • 攻击者如何确保只有他们能发送有效负载到后门?

    -攻击者通过要求任何发送到后门的有效负载都必须用攻击者的私钥签名来确保只有他们能发送有效负载,这使得测试、监控变得更加困难。

  • 这次安全事件是如何被发现的?

    -这次安全事件是由一位名叫Andre Frin的软件工程师偶然发现的。他在使用Debian的不稳定分支进行Postgres基准测试时,注意到SSH登录比正常情况下消耗更多的CPU资源,经过调查,他发现问题实际上出在上游的XY utils中。

  • 目前对这次攻击的幕后黑手有何了解?

    -目前尚不清楚这次攻击的幕后黑手是谁。liblzma项目由Lassie Colin维护,但恶意tarballs是由项目的贡献者giaan签名的。giaan在过去几年中一直是值得信赖的贡献者,但显然他们在建立信任后尝试了这次后门攻击。我们不知道这是个人行为还是有国家支持的渗透尝试。

  • XZ压缩工具的维护者和贡献者有哪些特点?

    -XZ压缩工具的维护者是Lassie Colin,而贡献者giaan在过去几年中表现出了极大的热情和帮助,但这次事件表明,他们可能在长期建立信任后进行了这次攻击。

  • 这次安全事件对互联网的影响有多大?

    -由于大多数互联网服务器基于Linux,这次后门攻击可能会造成重大灾难。但由于Andre Frin的发现,这个问题在早期就被注意到了,从而避免了可能的多亿美元级别的灾难。

  • 为什么推荐使用Temple OS?

    -推荐使用Temple OS是因为这次安全事件并没有影响到它,而且它的安全性得到了保证。

Outlines

00:00

🚨 Linux 系统安全危机:XZ 压缩工具后门事件

近期,开源世界面临一场精心策划的高级别安全攻击,影响了 XZ 压缩工具,导致多个 Linux 发行版如 Debian CI、open Susa 等受到威胁。幸运的是,Temple OS 未受影响。此次攻击被认为是供应链攻击的典型案例,其严重程度在 CVE RoR 规模上甚至超过了著名的 Heartbleed 和 Shellshock 漏洞。视频将详细介绍 XZ 后门的工作原理以及它是如何被偶然发现的。目前,仅影响少数不稳定版本的 Linux 系统,但鉴于大多数互联网服务器基于 Linux,这一后门本可能导致灾难性后果。幸运的是,软件工程师 Andre Frin 在使用 Debian 不稳定分支时偶然发现了异常,从而帮助世界避免了巨大的经济损失。目前尚不清楚攻击者的身份,可能是个人或国家支持的黑客集团。

Mindmap

Keywords

💡开源世界

开源世界指的是那些支持并积极参与开源项目的个人、组织和社区。开源项目允许公众访问源代码,并鼓励协作和共享。在视频中,开源世界因XZ压缩工具的安全问题陷入恐慌,这表明开源社区面临的安全挑战及其对整个互联网生态的影响。

💡XZ压缩工具

XZ压缩工具是一种基于LZMA算法的文件压缩和解压缩工具。它在Linux系统中广泛使用,并且包含在大多数Linux发行版的默认安装中。视频中提到,XZ压缩工具被恶意代码攻击,导致严重的安全漏洞。

💡Linux发行版

Linux发行版是指根据Linux内核定制的操作系统版本,它们通常包括一套预选的软件和默认设置。在视频中,一些Linux发行版如Debian CI和openSUSE受到XZ压缩工具安全问题的威胁。

💡供应链攻击

供应链攻击是指攻击者通过破坏软件或硬件的供应链来植入恶意代码或组件的行为。这种攻击很难发现,因为它们通常在软件或硬件的生产或分发过程中就已经存在。视频中的XZ压缩工具事件就是一个供应链攻击的例子。

💡秘密后门

秘密后门是指在软件或系统中故意留下的一个可以绕过正常安全措施的入口。攻击者可以利用这个入口来访问或控制受影响的系统。在视频中,XZ压缩工具中的秘密后门使得攻击者能够执行代码并拦截或修改数据。

💡恶意代码

恶意代码是指专门设计来对计算机系统或网络造成伤害、窃取信息或进行未授权操作的软件。在视频中,XZ压缩工具中的恶意代码是通过一系列混淆手段隐藏的,并且只有在构建时才会被注入。

💡SSH

SSH(Secure Shell)是一种网络协议,用于安全地访问远程服务器。它提供了加密的通信通道,使得用户可以通过不安全的网络环境安全地登录和管理远程系统。视频中提到,SSHd(SSH守护进程)依赖于liblzma库来实现压缩功能,而这个库受到了攻击。

💡Andre Frin

Andre Frin是一位软件工程师,他在视频中被描述为英雄人物。在使用Debian不稳定分支进行基准测试时,他注意到SSH登录使用的CPU资源异常,并最终发现了XZ压缩工具的安全问题。

💡Lassie Colin

Lassie Colin是liblzma项目的维护者。在视频中,尽管他负责管理该项目,但恶意的tarball是由一个名为gian的长期贡献者发布的。这表明即使是受信任的贡献者也可能参与到恶意活动中。

💡国家支持的黑客

国家支持的黑客是指由某个国家政府资助或支持的个人或组织,他们进行网络攻击以实现政治、经济或军事目标。视频中提到,攻击XZ压缩工具的幕后黑手可能是国家支持的黑客,这表明了网络攻击的复杂性和潜在的国际影响。

💡Temple OS

Temple OS是一个在视频中提到的操作系统,它没有受到XZ压缩工具安全问题的影响。这表明在面对广泛的安全威胁时,仍有一些系统能够保持安全和不受损害。

Highlights

开源世界近日陷入恐慌,因为一次高度复杂且精心策划的攻击影响了XZ压缩工具。

受影响的Linux发行版包括Debian CI、openSUSE等,但幸运的是,Temple OS不受影响。

这次攻击可能是有史以来执行最完美的供应链攻击之一,给攻击者提供了通过秘密后门在机器上执行代码的无限制访问权限。

这不是普通的安全漏洞,而是cveRoR规模上的威胁等级午夜10.0关键问题,甚至高于著名的Heartbleed、Log4Shell和Shellshock。

XZ后门的工作原理和它是如何被偶然发现的惊人故事将在今天的视频中详细介绍。

尽管今天是2024年4月1日,这并非愚人节视频,情况非常严重。

XZ utils是一个基于LZMA算法的压缩和解压缩流的工具,包含大多数Linux发行版默认安装的命令行工具。

liblzma库被许多其他软件依赖以实现压缩功能,包括SSH守护进程。

恶意代码被发现在liblzma的tarball中,但在源代码中并不存在,它使用一系列混淆技术隐藏恶意代码。

在构建时,它会注入一个伪装成测试文件的预构建对象,修改lzma代码的特定部分,允许攻击者拦截和修改与该库交互的数据。

研究人员还发现,发送到后门的任何有效载荷都必须由攻击者的私钥签名,这意味着只有攻击者可以发送有效载荷到后门。

攻击者费尽心思混淆代码,例如代码中没有明显的字符,而是内置了一个状态机来识别重要字符串。

由于大多数基于Linux的服务器支撑着互联网,这个后门本可能引发重大灾难。

幸运的是,一位名叫Andre Mars的软件工程师在使用Debian不稳定分支进行Postgres基准测试时,偶然发现了异常。

他注意到SSH登录比正常情况下消耗更多的CPU资源,这最终导致他发现问题出在上游的XZ utils中。

目前尚不清楚是谁制造了这个后门,liblzma项目由Lassie Colin维护,但恶意tarball是由项目贡献者Giaan签名的。

Giaan是项目过去几年中值得信赖的贡献者,但显然他们在建立信任后尝试了后门,而没有人注意到。

我们不知道黑客的真实身份,可能是个人或者像俄罗斯、朝鲜或美国这样的流氓国家的渗透尝试。

由于XZ工具非常流行且维护者单一,它成为了易受攻击的目标。

这次攻击旨在撒下大网,由于受到秘密密钥的保护,只能由一方利用,使得XZ成为了一个容易受到攻击的目标。

唯一应该使用的操作系统是Temple OS,这是本期代码报告的结束,感谢观看。

Transcripts

00:00

over the last few days the open source

00:01

world has been in panic mode a highly

00:03

sophisticated and carefully planned

00:05

attack affecting the XZ compression tool

00:08

was shipped to production and it's

00:09

compromised Linux dros like Debian CI

00:12

open Susa and others thank God Temple OS

00:14

is unaffected though and it's quite

00:16

possibly one of the most well executed

00:18

supply chain attacks of all time and

00:19

give some random dude unfettered access

00:21

to execute code on your machine via a

00:24

secret back door this is not your

00:25

everyday security vulnerability it's a

00:27

Threat Level Midnight 10.0 critical

00:29

issue on the cve RoR scale even higher

00:32

than famous bugs like heart bleed log

00:34

for shell and shell shock in today's

00:36

video you'll learn exactly how the XZ

00:38

back door works and the incredible story

00:40

of how it was discovered by accident it

00:42

is April 1st 2024 and you're watching

00:44

the code report unfortunately this is

00:46

not an April Fool's video If you happen

00:48

to be using one of the Linux distros

00:49

listed here you'll want to upgrade

00:51

immediately luckily it only affects a

00:53

very narrow set of dros most of which

00:55

are unstable builds but that's only

00:57

because this back door was discovered by

00:58

pure luck early on more on that in just

01:00

a second let's first take a deep dive

01:02

into this back door XY utils is a tool

01:05

for compressing and decompressing

01:06

streams based on the lle ziv Markoff

01:09

chain algorithm or lzma it contains a

01:11

command line tool that's installed on

01:13

most Linux dros by default which you can

01:15

use right now with the XZ command but

01:17

also contains an API Library called lib

01:19

lzma and many other pieces of software

01:22

depend on this library to implement

01:24

compression one of which is sshd or

01:26

secure shell demon a tool that listens

01:28

to SSH connection

01:30

like when you connect your local machine

01:32

to the terminal on a Cloud Server and

01:34

now here's where the back door comes in

01:35

but keep in mind researchers are still

01:37

figuring out exactly how this thing

01:38

works malicious code was discovered in

01:40

the tarballs of lib lzma which is the

01:43

thing that most people actually install

01:44

that malicious code is not present in

01:46

the source code though it uses a series

01:48

of obfuscations to hide the malicious

01:50

code then at build time it injects a

01:52

pre-built object disguised as a test

01:54

file that lives in the source code it

01:56

modifies specific parts of the lzma code

01:58

which ultimately allows the attach ha ER

02:00

to intercept and modify data that

02:02

interacts with this Library researchers

02:04

have also discovered that any payload

02:06

sent to the back door must be signed by

02:08

the attacker's private key in other

02:09

words the attacker is the only one who

02:11

can send a payload to the back door

02:13

making it more difficult to test and

02:15

monitor and the attacker went to Great

02:16

Lengths to obfuscate the code like it

02:18

contains no asky characters and instead

02:20

has a built-in State machine to

02:22

recognize important strings now because

02:24

the vast majority of servers that power

02:25

the internet are Linux based this back

02:27

door could have been a major disaster

02:29

luckily though a hero software engineer

02:31

named Andre frin was using the unstable

02:34

branch of Debian to Benchmark postgress

02:36

he noticed something weird that most

02:37

people would Overlook SSH logins were

02:39

using up more CPU resources than normal

02:42

initially he thought it was an issue in

02:43

Debian directly but after some

02:45

investigation discovered it was actually

02:47

Upstream in XY utils and that's really

02:49

bad because so many things depend on

02:51

this tool in German his last name

02:52

translates to friend which is fitting

02:54

because he single-handedly helped the

02:56

world avoid a multi-billion dollar

02:58

disaster but who done it who's the a bad

03:00

guy here at this point it's unclear the

03:02

lib lzma project is maintained by Lassie

03:04

Colin however the malicious tarballs are

03:06

assed by giaan a contributor to the

03:08

project this individual has been a

03:10

trusted contributor for the last few

03:12

years but clearly they've been playing

03:14

the long game they spent years building

03:15

up trust before trying the back door and

03:17

nobody even noticed when they made their

03:19

move I say they because we don't know if

03:21

this is an individual or a penetration

03:23

attempt from a rogue State like Russia

03:24

North Korea or the United States here's

03:26

a non-technical analogy imagine there's

03:29

a landlord we'll call him Lassie Colin

03:31

who manages a popular apartment building

03:33

it's a lot of work but this young

03:35

enthusiastic guy has been super helpful

03:37

over the last couple years adding all

03:38

sorts of upgrades and Renovations let's

03:40

call him gatan he does great work but

03:43

he's also been secretly installing

03:44

cameras in the bathrooms which only he

03:46

can access from the internet with his

03:48

password now he would have gotten away

03:49

with it too if it weren't for a pesky

03:51

tenant named andrees who happened to

03:53

notice that his electricity bill was

03:55

just a little bit higher than usual he

03:56

started looking behind the walls and

03:58

found some unexpected wies that led

04:00

right to the unauthorized cameras at

04:02

this point we don't know the true

04:03

identity of the hacker but whoever did

04:05

this was looking to cast a very wide net

04:08

and because it's protected by a secret

04:09

key can only be exploited by one party

04:11

XZ was a Sitting Duck because it's

04:13

extremely popular while also being very

04:15

boring with a single maintainer

04:17

whoever's behind this is either an

04:18

extremely intelligent psychopath or more

04:20

likely a group of state sponsored

04:22

Dimension hopping lizard people hellbent

04:24

on world domination and that's why the

04:25

only drro you should use is Temple OS

04:28

this has been the code report thanks for

04:29

watching watching and I will see you in

04:31

the next one