Alerte sécurité : Porte dérobée (backdoor)

May 8, 2024 by
Alerte sécurité : Porte dérobée (backdoor)
ST DIGITAL, Fabrice ADZRAKOU

Une porte dérobée (backdoor) a été découverte dans la bibliothèque Linux xz dans les versions 5.6.0 et 5.6.1. Son utilisation semble permettre de contourner l'authentification ssh.


Avis de sécurité des éditeurs :

Red hat : https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Debian : https://lists.debian.org/debian-security-announce/2024/msg00057.html


Notre Analyse de la situation 


XZ Utils est une suite d'outils open source pour le format de compression XZ, connue pour ses taux de compression élevés et le support de plusieurs algorithmes, notamment LZMA2.


Le 29 mars, un chercheur de Microsoft, Andres Freund, a découvert de manière opportuniste une backdoor dans xz/liblzma versions 5.6.0 et 5.6.1.

Plusieurs distributions Linux affectées dont : Kali Linux (entre le 26 et 29 mars), openSUSE (entre le 7 et 28 mars), et même certaines versions de Debian (de 5.5.1alpha-0.1 à 5.6.1-1), parmi d'autres 

Les premières analyses montrent que seules les machines Linux x86/x64 sont touchées).

Cette backdoor permet de contourner l'authentification SSH, donnant un accès non autorisé aux machines, notamment quand SSH est exécuté via  SystemD et exposé.


Vous pouvez utiliser le script suivant afin de détecter la présence de cette backdoor : https://lnkd.in/ePb3hBEH

Mais également une règle YARA est disponible : https://lnkd.in/e6-Scy5V


Selon les premières analyses, les approches laissant penser à une attaque "state-sponsored/APT" vu la sophistication et le fait que l’auteur est impliqué dans le projet depuis plus de 2 ans.


Ce cas met en lumière les risques liés aux chaînes d'approvisionnement et à l’utilisation de bibliothèques open source sans mesures de vérification  adéquates, ainsi qu'une vulnérabilité sur GitHub concernant le spoofing  des noms d'utilisateur.


La contremesure principale est de rétrograder vers des versions non affectées, et de suivre les recommandations des advisories de votre distribution.

On vous conseille aussi de changer vos clefs ssh par mesure de prudence.


Pour une analyse technique approfondie, nous recommandons un rapport de la CISA : https://lnkd.in/ez-aiE9w


La backdoor XZ n'est que la pointe de l'iceberg, rappelant la nécessité d’une vigilance constante face aux risques liés aux bibliothèques et dépendances open source : Pippy, NPM ou encore les registres GO.


ST DIGITAL vous propose un audit sécurité/test d’intrusion


Lire aussi:
Votre snippet dynamique sera affiché ici... Ce message est affiché parce que vous n'avez pas défini le filtre et le modèle à utiliser.


Archive