La backdoor di zx Utils: ecco come un volontario ha scongiurato una catastrofe informatica

Redazione di Hardware Upg · 03-04-2024, 14:01

Link alla notizia: https://www.hwupgrade.it/news/sicure...ca_125839.html

Una vulnerabilità presente in uno strumento di compressione per Linux è stata scoperta quasi per caso da un singolo sviluppatore e neutralizzata per tempo: gli esiti sarebbero stati simili a quanto accaduto con Log4shell

Click sul link per visualizzare la notizia.

marcram · 03-04-2024, 14:35

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

(Fonte XKCD)

Opteranium · 03-04-2024, 14:46

vicenda decisamente inquietante, per fortuna a lieto fine e che conferma quanto di buono ci sia nel software open.
Adesso mi chiedo: ci sarà una denuncia per questa "entità" (persona o gruppo che sia) autore del codice malevolo?

SpyroTSK · 03-04-2024, 14:53

Quote:

Originariamente inviato da marcram

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

(Fonte XKCD)

Quindi una LGPL con limiti di fatturato...

marcram · 03-04-2024, 15:14

Quote:

Originariamente inviato da SpyroTSK

Quindi una LGPL con limiti di fatturato...

Non me ne intendo tanto di licenze...

Dovrebbe essere: tu, azienda multimilionaria, paghi una commissione in percentuale ai ricavi, e in compenso puoi usare tutti i software con licenza Post-Open (così la chiama) che vuoi.
La commissione viene poi suddivisa tra gli sviluppatori dei software utilizzati.

https://www.thestack.technology/open...for-post-open/

SpyroTSK · 03-04-2024, 15:26

Quote:

Originariamente inviato da Opteranium

vicenda decisamente inquietante, per fortuna a lieto fine e che conferma quanto di buono ci sia nel software open.
Adesso mi chiedo: ci sarà una denuncia per questa "entità" (persona o gruppo che sia) autore del codice malevolo?

Sì, ma non è un comune tentativo di hacking fatto da un pivello, sicuramente dietro a quell'account c'è qualche gruppo bello grosso, quasi sicuramente info stealer.

fabius21 · 03-04-2024, 15:29

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

marcram · 03-04-2024, 15:33

Quote:

Originariamente inviato da fabius21

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

No, non nei binari. Nei tarball dei sorgenti.
Il problema è che molti utilizzatori, invece di scaricare i sorgenti direttamente dal Git, si scaricano i tarball già impacchettati...

fabius21 · 03-04-2024, 15:46

Quote:

Originariamente inviato da marcram

No, non nei binari. Nei tarball dei sorgenti.
Il problema è che molti utilizzatori, invece di scaricare i sorgenti direttamente dal Git, si scaricano i tarball già impacchettati...

grazie per il chiarimento

SpyroTSK · 03-04-2024, 16:00

Quote:

Originariamente inviato da marcram

Non me ne intendo tanto di licenze...

Dovrebbe essere: tu, azienda multimilionaria, paghi una commissione in percentuale ai ricavi, e in compenso puoi usare tutti i software con licenza Post-Open (così la chiama) che vuoi.
La commissione viene poi suddivisa tra gli sviluppatori dei software utilizzati.

https://www.thestack.technology/open...for-post-open/

Allora, la differenza sostanziale tra GPL e LGPL è che su GPL tu sei obbligato a rilasciare sempre l'interno codice sorgente del tuo software anche se hai utilizzato 1 sola riga di codice protetta da GPL (che sia a pagamento o meno). Mentra la LGPL ti dice che tu puoi usare il codice protetto da LGPL all'interno (o esterno, come libreria) del tuo software senza nessun problema e se qualcuno volesse i tuoi codici sorgenti tu sei obbligato a lasciarli solamente la parte coperta da LGPL e non tutto il tuo pezzettone di software.

Inoltre, nessuna delle due licenze vieta agli sviluppatori di vendere il software e il relativo codice sorgente, ma consente ai propri acquirenti il lusso di regalare e/o pubblicare il codice protetto da GPL o LGPL.

Pertanto, quello che vuoi fare tu è una LGPL senza eccezzione del dynamic linking, ma se hai un fatturato più alto di 2.000.000€, paghi a prescinedere un tot di €

edit: NB che entrambe le licenze non consentono NESSUNA MODIFICA alla parte del codice protetto dalle due licenze, pertanto se prendi un pezzo di codice di un software con licenza gpl o lgpl e ci inserisci un carattere sei obbligato a rilasciarlo.

marcram · 03-04-2024, 16:19

Quote:

Originariamente inviato da SpyroTSK

Allora, la differenza sostanziale tra GPL e LGPL è che su GPL tu sei obbligato a rilasciare sempre l'interno codice sorgente del tuo software anche se hai utilizzato 1 sola riga di codice protetta da GPL (che sia a pagamento o meno). Mentra la LGPL ti dice che tu puoi usare il codice protetto da LGPL all'interno (o esterno, come libreria) del tuo software senza nessun problema e se qualcuno volesse i tuoi codici sorgenti tu sei obbligato a lasciarli solamente la parte coperta da LGPL e non tutto il tuo pezzettone di software.

Inoltre, nessuna delle due licenze vieta agli sviluppatori di vendere il software e il relativo codice sorgente, ma consente ai propri acquirenti il lusso di regalare e/o pubblicare il codice protetto da GPL o LGPL.

Probabilmente, se la cosa dovesse andare in porto, nascerebbero comunque delle sotto-licenze con le stesse differenze, quindi questa Post-Open non andrebbe paragonata strettamente ad una LGPL, ma ad un suo sovrainsieme...

Quote:

Pertanto, quello che vuoi fare tu è una LGPL senza eccezzione del dynamic linking, ma se hai un fatturato più alto di 2.000.000€, paghi a prescinedere un tot di €

No, non io...

Ne esiste già una bozza
https://perens.com/2024/03/08/post-o...e-first-draft/

kreijack · 03-04-2024, 18:21

Quote:

Originariamente inviato da fabius21

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

Erano sempre i sorgenti ma compressi in un archivio tar.gz. A volte è più pratico renderli disponibili come tali oltre a rendere disponibile i sorgenti attraverso git.

Takuya · 03-04-2024, 18:36

Quote:

Originariamente inviato da marcram

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

(Fonte XKCD)

Fixed

kreijack · 03-04-2024, 18:38

Freund è un manutentore volontario del sistema di gestione database PostgreSQL. La sua scoperta prende il via dopo aver osservato comportamenti non consueti durante l'esecuzione di alcuni test su Linux: in particolare con un anomalo carico della CPU nel corso degli accessi crittografati a liblzma, parte della libreria di compressione xz.

E' un po' più convoluto: Freund ha notato un rallentamento dell'avvio di una connessione ssh (da 0.2 a 0.8 sec se ricordo bene), ed un picco di consumo di CPU.

La sua analisi ha rivelato poi, che il server SSH appoggiandosi ad una libreria di systemd, a sua volta richiamava la libreria liblzma, che andava a rimappare (in particolari circostanze) la funzione RSA_public_decrypt di openssl.

Quello che fa impressione, oltre al social engineering e alla pazienza (un lavoro durato 3 anni) usati, sono a tutte le tecniche impiegate per offuscare l'exploit.

Le "in particolari circostanze" condizioni, sono condizioni che complicano enormemente l'analisi di questo tipo di exploit: non deve essere settata la variabile di ambiente TERM p.e; l'exploit è un RCE (remote code execution), ed il comando deve essere cifrato correttamente altrimenti l'exploit si disattiva; di fatto questo impedisce una scansione di internet alla ricerca di questa backdoor.

Il commento più bello è il seguente:

Incredible work from Andres [Freund]. The attackers made a serious strategic mistake: they made PostgreSQL slightly slower.

— Thomas Munro

blackshard · 03-04-2024, 21:29

Ironico: complimenti a chi ha scritto l'articolo, in particolare il titolo

Sandro kensan · 03-04-2024, 23:16

Anch'io il 30 marzo ho ricevuto l'alert:

«Post : About backdoor security alert for xz»

Comunque non essendo interessato al problema ho solo conservato l'email per future riflessioni.

An.tani · 04-04-2024, 11:24

Quote:

Originariamente inviato da SpyroTSK

Sì, ma non è un comune tentativo di hacking fatto da un pivello, sicuramente dietro a quell'account c'è qualche gruppo bello grosso, quasi sicuramente info stealer.

Infatti, soprattutto per i tempi lunghi la cosa puzza molto di gruppo sponsorizzato da qualche governo.

E se così fosse non mi sorprenderei se lo stesso modus operandi fosse stato adottato per altri pacchetti, ovviamente con altre identità....

03-04-2024, 21:29	#15
blackshard Senior Member Iscritto dal: Jan 2002 Città: non ti interessa Messaggi: 5606	Ironico: complimenti a chi ha scritto l'articolo, in particolare il titolo __________________ [url="http://www.hwupgrade.it/forum/showthread.php?t=2119003"]- Compilatore Intel e disparità di trattamento verso processori AMD/VIA

03-04-2024, 14:01	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: https://www.hwupgrade.it/news/sicure...ca_125839.html Una vulnerabilità presente in uno strumento di compressione per Linux è stata scoperta quasi per caso da un singolo sviluppatore e neutralizzata per tempo: gli esiti sarebbero stati simili a quanto accaduto con Log4shell Click sul link per visualizzare la notizia.

03-04-2024, 14:35	#2
marcram Senior Member Iscritto dal: Jul 2008 Messaggi: 5290	Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente... (Fonte XKCD)

03-04-2024, 14:46	#3
Opteranium Senior Member Iscritto dal: Feb 2004 Messaggi: 5999	vicenda decisamente inquietante, per fortuna a lieto fine e che conferma quanto di buono ci sia nel software open. Adesso mi chiedo: ci sarà una denuncia per questa "entità" (persona o gruppo che sia) autore del codice malevolo?

03-04-2024, 15:29	#7
fabius21 Senior Member Iscritto dal: Jan 2008 Messaggi: 1739	Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

03-04-2024, 18:38	#14
kreijack Member Iscritto dal: May 2011 Messaggi: 126	Freund è un manutentore volontario del sistema di gestione database PostgreSQL. La sua scoperta prende il via dopo aver osservato comportamenti non consueti durante l'esecuzione di alcuni test su Linux: in particolare con un anomalo carico della CPU nel corso degli accessi crittografati a liblzma, parte della libreria di compressione xz. E' un po' più convoluto: Freund ha notato un rallentamento dell'avvio di una connessione ssh (da 0.2 a 0.8 sec se ricordo bene), ed un picco di consumo di CPU. La sua analisi ha rivelato poi, che il server SSH appoggiandosi ad una libreria di systemd, a sua volta richiamava la libreria liblzma, che andava a rimappare (in particolari circostanze) la funzione RSA_public_decrypt di openssl. Quello che fa impressione, oltre al social engineering e alla pazienza (un lavoro durato 3 anni) usati, sono a tutte le tecniche impiegate per offuscare l'exploit. Le "in particolari circostanze" condizioni, sono condizioni che complicano enormemente l'analisi di questo tipo di exploit: non deve essere settata la variabile di ambiente TERM p.e; l'exploit è un RCE (remote code execution), ed il comando deve essere cifrato correttamente altrimenti l'exploit si disattiva; di fatto questo impedisce una scansione di internet alla ricerca di questa backdoor. Il commento più bello è il seguente: Incredible work from Andres [Freund]. The attackers made a serious strategic mistake: they made PostgreSQL slightly slower. — Thomas Munro

03-04-2024, 23:16	#16
Sandro kensan Senior Member Iscritto dal: Dec 2011 Messaggi: 2916	Anch'io il 30 marzo ho ricevuto l'alert: «Post : About backdoor security alert for xz» Comunque non essendo interessato al problema ho solo conservato l'email per future riflessioni.

Strumenti
Mostra una versione stampabile Invia questa pagina per email