Backdoor in XZ maakt remote code execution mogelijk
In datacompressietool XZ werd recentelijk een exploit gevonden voor 'remote execution'. Onderzoeker Filippo Valsorda spreekt over een nachtmerriescenario en noemt het mogelijk een van de grotere aanvallen is die ooit ontdekt is. XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. Deze zou SSH kunnen compromitteren, stelt het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin. Systemen met versie 5.6.0 of 5.6.1 van xl, en met de glibc of liblzma bibliotheken zouden kwetsbaar zijn. Inmiddels heeft GitHub de nodige repositories met de broncode verwijderd.
De onderzoeker wijst erop dat de backdoor per toeval werd ontdekt. "Ik vraag me af hoe lang het anders had geduurd." Tijdens het uitvoeren van PostgreSQL-benchmarks stuitte Andres Freund, een ontwikkelaar bij Microsoft die betrokken is bij PostgreSQL, op de backdoor. Daarnaast concludeert onderzoeker Gynvael Coldwind in zijn analyse dat iemand aanzienlijke inspanningen heeft geleverd om de backdoor onopgemerkt te laten lijken en dat deze redelijk goed verborgen is.
Gerelateerde nieuwsberichten
03/10/2023 Mailserver-software Exim verhelpt ernstige kwetsbaarheid
21/09/2023 Beveiligingsprobleem in GitLab ontdekt
28/06/2023 Lek ontdekt in module voor leeromgevingen voor Wordpress
Om te reageren heb je een account nodig en je moet ingelogd zijn.