Nieuws
Backdoor in XZ maakt remote code execution mogelijk
In datacompressietool XZ werd recentelijk een exploit gevonden voor 'remote execution'. Onderzoeker Filippo Valsorda spreekt over een nachtmerriescenario en noemt het mogelijk een van de grotere aanvallen is die ooit ontdekt is.
XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. Deze zou SSH kunnen compromitteren, stelt het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin. Systemen met versie 5.6.0 of 5.6.1 van xl, en met de glibc of liblzma bibliotheken zouden kwetsbaar zijn. Inmiddels heeft GitHub de nodige repositories met de broncode verwijderd.
De onderzoeker wijst erop dat de backdoor per toeval werd ontdekt. "Ik vraag me af hoe lang het anders had geduurd." Tijdens het uitvoeren van PostgreSQL-benchmarks stuitte Andres Freund, een ontwikkelaar bij Microsoft die betrokken is bij PostgreSQL, op de backdoor. Daarnaast concludeert onderzoeker Gynvael Coldwind in zijn analyse dat iemand aanzienlijke inspanningen heeft geleverd om de backdoor onopgemerkt te laten lijken en dat deze redelijk goed verborgen is.
Reacties
0