Auch wenn im aktuellen Fall nicht von Vorsatz auszugehen ist, lässt das erneute Auftreten einer
Schwachstelle mit CVSS >8 (die dritte in 3 Jahren) Zweifel an der Qualitätskontrolle innerhalb des XZ-Projektes aufkommen. Dabei ist zu berücksichtigen, dass diese ubiquitäre Softwarekomponente im Wesentlichen von einem einzelnen Maintainer in seiner Freizeit gepflegt wird. Die verfügbaren
personellen Ressourcen stehen damit in keinem Verhältnis zur hohen Verbreitung der Bibliothek. Dies trifft auf eine große Anzahl von Open-Source-Software-Komponenten zu, die oft auch in proprietärer Software integriert sind, ohne hier offensichtlich zu werden. Zudem handelt es sich dabei um einen sehr frühen Punkt in der Lieferkette einer Softwarekomponente, die extrem weit verbreitet ist.

Hersteller von umsatzstarken Produkten bzw. Dienstangeboten teilen oftmals auch nicht die Erlöse
mit den bzw. mit allen im Unterbau genutzten Software-Projekten. Durch derartige Projekte sind im Laufe der letzten 30 Jahre eine Vielzahl an höchst wertvollen Software-Gütern entstanden, von denen das Funktionieren der heutigen IT-Welt abhängig ist, die jedoch trotz ihrer wirtschaftlichen Verwertung nicht ansatzweise mit Ressourcen ausgestattet wurden, die der damit erzielten Wertschöpfung entspricht. Perspektivisch sollte diesem strukturellen Problem mehr Aufmerksamkeit geschenkt werden.

Allen, die noch Windows 10 nutzen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), ein Upgrade durchzuführen bzw. auf ein anderes Betriebssystem umzusteigen. Das können etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem sein.

Neues Video von #Simplicissimus: „Eine Gruppe Hacker hätte sich beinahe Zugang zu Millionen von Servern auf der ganzen Welt verschafft. Doch ein deutscher Software-Entwickler hat ihnen einen Strich durch die Rechnung gemacht.“
https://www.youtube.com/watch?v=8p8PHeGg--U
Hintergrund: https://de.wikipedia.org/wiki/CVE-2024-3094
#xz #linux #opensource #quelloffen #backdoor #github #CVE20243094 #ssh

#XZUtils 5.6.2 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression / #CVE / #CVE20243094) https://tukaani.org/xz/

@jrt @ph0lk3r @hisolutions @HonkHase

Vielen Dank für den Aufschrieb. Ich hoffe, dass jemand aus dieser Vorlage einen Krimi macht.

Hättet ihr Lust, das als szenische Lesung oder (Socken-)Puppentheater beim #38c3 aufzuführen?

#CVE20243094 #xz #liblzma #Hintertür

The xz Issue Isn’t About Open Source | The Changelog

https://changelog.complete.org/archives/10642-the-xz-issue-isnt-about-open-source
#rr #xz #cve20243094 #OpenSource

Open source developers are not a supply chain. We need to stop calling Jia Tan's intentionally malicious activities a "supply chain attack".

#xz #cve20243094

Putting an xz Backdoor Payload in a Valid RSA Key | rya.nc

https://rya.nc/xz-valid-n.html

#xz #cve20243094 #security #backdoor #rsa #ssh #rr

nice demo and explanation of #xz #liblzma #ssh #exploit #backdoor #CVE20243094
https://www.youtube.com/watch?v=vV_WdTBbww4

@howtophil it is and should be a wake up call for open source community. It's all based on trust.

#xz #libzma #backdoor #security #cve #CVE20243094

@howtophil it has nothing to do with stable or unstable builds (builds of what exactly?). It was a stable release of xz. There are rolling-release distributions and packaging systems that would have just pulled it in. And that's exactly what happened.

And which system do you mean? Nobody maintaining the package for Debian, Fedora, Kali, openSUSE found it. It was a random guy from Microsoft that randomly discovered it - not the "system".
#xz #libzma #backdoor #security #cve #CVE20243094

What we know about the xz Utils backdoor that almost infected the world

#security #cve20243094 #devops
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/

[Announcement] "Xz/liblzma security update (post #2)" from the Ubuntu developers regarding #cve20243094

https://discourse.ubuntu.com/t/xz-liblzma-security-update-post-2/43801?u=popey

#ubuntu #linux #xz

Perehdyin pintapuolisesti tuohon xz-takaoveen (CVE-2024-3094). Softakehityksen ja systeemi-integroinnin kanssa sen verran viettänyt aikaa että ymmärsin tilanteen potentiaalisen vakavuuden ja että se huomattiin vain hyvällä tuurilla. Kävelyllä pohdin, montako erilaista abstraktiotasoa ja systeemiä ns. taviksen pitää sisäistää että ymmärtää tämänkaltaisten hyökkäysten vakavuuden. Avoin lähdekoodi, kehittäjäyhteisö, distrojen integraatio, mittakaava... #Tietoturva #CVE20243094

This really was a well thought out supply chain attack. Jia Tan submitted a PR for OSS-Fuzz back in July 2023 to intentionally ignore the IFUNC feature which is used (maliciously) to perform runtime hooking/redirection of OpenSSH's authentication routines.
#cve20243094 https://www.reversinglabs.com/blog/a-software-supply-chain-meltdown-what-we-know-about-xz-trojan

Perhaps the long con is an even longer con in which an attacker attempts to drive many #infosec people into burnouts over time by hiding malware in packages that are then discovered just before holiday weekends.

#xz #xzbackdoor #xzorcist #cve20243094

Security Week 2414: последствия взлома xz-utils

История со взломом набора утилит xz-utils, несомненно, войдет в категорию легендарных событий в сфере информационной безопасности. Эта тщательно спланированная атака на цепочку поставок была в шаге от полного успеха. Могла быть реализована ситуация, когда десятки и сотни тысяч систем на базе Linux имеют в своем коде скрытый бэкдор, задействуемый организаторами атаки с помощью известного им приватного ключа. Поражает как сложность самой атаки, так и неординарная история обнаружения бэкдора. Последнее все же заставляет надеяться, что сообщество разработчиков открытого ПО найдет средства противодействия подобным атакам в будущем. Таймлайн атаки достаточно подробно описан на Хабре здесь (еще одна обновляемая статья — тут ), подверженные дистрибутивы приведены здесь , в этой статье мы постараемся выделить самые важные моменты и попробуем представить, как это повлияет на разработку ПО с открытым исходным кодом.

https://habr.com/ru/companies/kaspersky/articles/804537/

#xzutils #CVE20243094

Achtung Linux Nutzer: Backdoor in XZ-Tarballs entdeckt - MichlFranken

https://www.michlfranken.de/linux-backdoor-xz-tarballs-entdeckt/

#backdoor #xz #CVE20243094 #Sicherheitslücke

Nice! @amlw wrote a PoC exploit and a honeypot for the xz backdoor.

https://github.com/amlweems/xzbot

#xz #liblzma #cve20243094 #infosec

Put yourself in Jia Tan's shoes, the malicious contributor to the xz backdoor...

It's been, what, two... three?... years since you started this campaign. You've had the entire support of your team and of your chain of command.

Your coders created a complex and sublime backdoor. A secure! backdoor that only you and your team could connect to. Heck it can even be deleted remotely. This is clean code. A responsible hack that doesn't open up the backdoor for others to hijack.

You spend years on your long con - your social engineering skills are at the top of the game. You've ingratiated yourself painstakingly into multiple teams. Finally it all pays off and you're ready to go!

You succeed multiple times in getting your backdoor inserted in all the major Linux distributions!!! Now its just a matter of weeks before it makes it to production and stable releases!

This is the culmination of years of labor and planning and of a massive team and budget.

You did good.

This will get you promoted. Esteemed by your colleagues and leadership alike. Your spouse and kids will understsnd why you haven't been at home lately and why you've spent all those late nights at the office.

It's finally going to pay off.

But what's this?! Some rando poking around in their box running a pre-release unstable version of linux has found everything?!?! It's all being ripped down?! And on a Friday before a western holiday weekend?!?!

Fuck. Fuck. FUCK!!!

Three years for nothing!!! My wife is going to leave me! I missed my kid's recital for this!!! They'll hate me because I told them it was worth it. Daddy will be able to play with you again once Daddy finishes this last bit of work. But it was all for nothing!!!

Leadership took a big risk on me and my team but I kept assuring them it would pay off!

It would be one thing if another nation state found it and stopped it. But one random dude poking his nose where it shouldn't belong?! Ohhh fuck, I'm going to be fired. We're going to lose our budget. My team is going to be fired. I've let down everyone that ever believed in me and supported me and relied on me!

Oh fuck!!!

#xz #backdoor #xzBackDoor #cve #cve20243094 #infosec #hacking #FOSS

#JustInCase I have mirrored @thesamesam gist at https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 (the xz backdoor/exploit FAQ) locally and on https://codeberg.org/jwildeboer/gists/src/branch/main/20240401CVE20243094FAQMirror.md Will setup some sort of automatic update script later. I don't think Github will somehow interfere with this FAQ, but hey, better safe than sorry and stuff :)

This is just a FYI. Please do NOT use my manual mirror of the FAQ and bookmark ONLY the original source.

#CVE20243094 #xz #liblzma #backdoor