Linux XZ Exploit : une attaque d’envergure contenue de justesse 😱
HTML-код
- Опубликовано: 9 сен 2024
- Une backdoor qui ciblait de nombreux serveurs Linux, accidentellement découverte par Andres Freund avant qu’elle ne se répande massivement.
💪 Soutenir la chaine via tipeee :
fr.tipeee.com/...
🚀 Plus de 40 formations pour 25 €/mois SANS engagement de durée 🚀
codeconcept.te...
Liens cités dans la vidéo :
message du découvreur de la vulnérabilité
mastodon.socia...
détails par le découvreur de
www.openwall.c...
schéma de l’attaque par Thomas Roccia
/ 1774342248437813525
xz/liblzma : bash-stage obfuscation explained (explication de la partie bash)
gynvael.coldwi...
tableau des distro Linux concernées
jfrog.com/blog...
![[Devfest Lille 2024] Sécurité automatisée: Regardez vos failles en face.](http://i.ytimg.com/vi/Gvee373I1c4/mqdefault.jpg)
![Un système d'exploitation c'est quoi? [Bases Informatique]](http://i.ytimg.com/vi/YScMI8lsy9s/mqdefault.jpg)
J'ai fortement apprécié que ce soit rapide et concis sans intro ou outro qui s’éloignerait du sujet principal, merci pour le temps gagné.
Merci pour ce contenu très bien résumé.
Je viens de découvrir cette chaîne. Info claire et sans blabla >> abonné
On court tous après le temps, donc aller droit au but me semblait important 😀
Merci pour vos vidéos de qualité.
Sur le site d'Archlinux, ils précisent :
openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.
Arch does not directly link openssh to liblzma, and thus this attack vector is not possible.
Et en effet Arch semble ne pas lier SSHD à LZMA, contrairement à ma Fedora en VM qui d'ailleurs lie SSHD à énormément de trucs...
Une des conclusions de cet évènement serait-elle donc que rester "KISS" diminue la surface d'attaque ? (en tout cas ne l'augmente pas)
Oui. Plus il y a de dépendances, plus on augmente la surface d'attaque.
Les états s'attaquent aux projets critiques avec un seul mainteneur, parce que c'est plus facile de "social engineerer" une seule personne ou simplement tromper sa vigilance, qu'un groupe de personnes. On l'a vu avec OpenSSH et maintenant avec xz. Il y a trop de projets critiques maintenus par une seule personne, il faut que ça cesse et que les entreprises qui gagnent des milliards s'impliquent plus dans ces projets pour les renforcer.
Je suis vraiment ignorant du sujet, mais ça a l'air de pas être rentable pour eux
@lolilollolilol7773 Et oui, si au moins les maintainers de ce genre de projets pouvaient en vivre, ne serait-ce qu'à temps partiel, ils seraient moins épuisés et donc moins tentés de se faire aider par des gars sortis de nulle part.
J'ai bossé dans une grosse boite qui appréciait une petite appli (un convertisseur d'images si je me souviens bien) développée par un dev solo ... sans que l'idée de lui prendre une licence payante ne lui traverse l'esprit. Il semblerait que les grosses boites préfèrent payer d'autres grosses boites.
Ca évolue sur ce point. Il y a eu des fonds pour améliorer les choses...
Oui, si les grosses boîtes ne viennent pas elle-même corrompre le code pour leur propre intérêt : une sorte de "backdoor économique" en somme 😏 (On a vu ce que Google a fait avec Chrome ou Android qui sont opensource à la base)
Merci pour l'information et les détails sur le fonctionnement. Parfois premdre une pause nous permet d'apprendre beaucoup 😊
Merci😀
En plus, c'est le temps d'une pause café. Enfin, ça aurait dû, mais j'ai débordé de mes habituelles 5 minutes.
C'est le problème du fast rolling même si je suis pas forcément contre, ca permet de beaucoup innover, mais en laissant moins de place pour le reviewing et a l'humain d'être moins surcharger. Ca sera un bon cas d'apprentissage pour pour les reviews de code depuis les IA. En tout cas j'ai déjà été confronté avec ce genre de pratique a petite échelle sur IPSet, ou soit disant une adresse d'université Chinoise avait tenté le coup mais vite attrapé lors des reviews. Je crains( et heureusement finalement) qu'on en découvre de plus en plus surtout sur des libs niches a faible review. Très bon résumé en tout cas dans cette vidéo, merci pour ca.
Merci Vincent 😀
S'en prendre à des développeurs solo (et sur les rotules) est un plus pour les individus malveillants.
Je connais pas fast rooling : est-ce que ça consiste à développer sur des cycles très courts ?
Super intéressant merci
Super vidéo gars, merci pour ton super taf. PS: Bien vu et un énorme merci aux cerveaux qui ont soulevé le lièvre.
Merci Fabien 😀
Le gars qui a creusé au lieu de laisser passer cette petite demi-seconde d'attente a mis la barre haut. Ca pourrait donner lieu à un biopic 😄
Merci pour ces vidéos très intéressantes. Ça permet de comprendre le pourquoi et le comment de beaucoup de choses
Merci Guillaume😀. Comprendre et peut-être même changer nos habitudes.
Merci pour tes explications, c'est le top !
Merci Thibault 😀
bravo et merci pour le contenu
😀
merci pour cette vidéo !
Super chaine, je vous ai découvert récemment et je trouve votre approches des sujets et votre storytelling très prenants, surtout quand on est soit même dev, bravo 👏
@fastnugget5050 Merci 😀
Et happy coding 😉
Merci
Le sujet est vraiment très intéressant et fait beaucoup parler en ce moment
En espérant que ça n'entache pas le monde de l'Open Source
Espérons en effet. L'open source reste une valeur sûre : une communauté ouverte est souvent préférable à du code fermé qui reste la propriété de grosses boites pas toujours bien intentionnées.
Très interessant. Ça remet en cause la notion même de mise à jour. Les repos vont finir comme les serveurs de messagerie où presque tout le monde s’est retiré dans des bastions propriétaires (Google et MS). C’est triste 😢
Concernant les repo, le fait de savoir qu'ils ont servi à entrainer des IA de type Copilot sans prévenir au préalable les développeurs a commencé à faire pas mal de dégât niveau confiance enver ces fameux gros bastions, certes pour d'autres raisons.
C'est peut-être là que les IA pourront nous être utiles : au lieu de nous priver graduellement de notre gagne pain, nous épargner ce genre d'attaques en analysant tous les packages contenus dans une mise à jour ("tiens, pourquoi il y a une clé privée qui traine dans ce package ?"). Et pourquoi pas, faire des benchmarks qui compareraient le temps d'execution d'une app avant et après sa mise à jour, depuis une machine virtuelle. C'était ma minute d'optimisme 😄
super grave comme tu l as dit il y énormément de serveur linux qui sont exposé surtout les clouds
merci de vulgariser ce genre de news
Merci Kyle 😀
Salut Samir oui j'en n'ai été victime du BackDoor XZ, tgz et cie...
sur Arch Linux ils ont prévues une 6.1-3 que j'ai mis à jour c'est surtout les serveurs SSH concernés après j'ai
scanner les RootKits avec RKunter -- > très efficace mais c'est galère quant même car le Backdoor et reste plus D'1 mois..
Risque de dégat vol et CIE...
Ce backdoor est probablement l'oeuvre d'un état. Ils ne s'intéressent pas à toi sauf si t'es un opposant politique majeur. Ils vont plutôt s'en servir pour de l'espionnage (stratégique, industriel ou autre) et installer d'autres backdoors ou timebombs. En clair, si tu n'es pas un intérêt stratégique pour l'état qui a fait ça, il est peu probable qu'ils se soient intéressés à toi. Patche ton serveur et passe à autre chose.
Salut Didier, bonne chance pour la suite du nettoyage. Et la création / vérif de backups au cas où, j'imagine 😉
@@lolilollolilol7773 C'est le "passer à autre chose" le plus difficile à mettre en pratique, tant qu'on est pas certain qu'il n'y a pas eu d'autres choses installées.
Je pense que vous confondez tout, pourquoi parlez-vous d’Arch Linux alors que cet exploit ne touche que les distributions basées sur les paquets RPM et DEB ?
Pourquoi parlez-vous de tgz et cie alors que ça ne touche que XZ ?
Idem, j'ai vu ça le 1er Avril. Mais comme la première alerte date du 29 mars, je me suis dit que c'était du sérieux.
Super résumé.
😀
2:42 une attaque zombie depuis 2021!!
Ça fais vraiment flipper ce genre attaque
Super vidéo :)
Non, ce n'est pas le sommet de l'iceberg car on le voit, les failles sont découvertes très rapidement et à chaque fois sur des détails très poussés. Cela signifie que les outils open-sources sont extrêmement bien audité surtout quand ils sont largement déployés. Statistiquement on devrait sinon en trouver 5-10 après leur mise en oeuvre or c'est extrêmement rare (Moins dans les logiciels et matériel privateurs comme les failles Intel Downfall).
Il faut bien se rendre compte que si l'outils avait été propriétaire, rien n'aurait pu être découvert. Il aurait pesté sur un forum que SSH est plus lent et l'éditeur, s'il avait pris le temps de regardé aurait dis, ouais ben c'est normal.
Après, cela ne veut pas dire qu'il n'y a aucune failles dans le système non plus bien entendu.
Vu la durée de l'attaque, c'est certainement gouvernemental. Si c'est gouvernemental, il y a certainement d'autres attaques similaires en cours
Linux est un évidence de surveillance..., des milliers de personnes à surveiller/vérifier et créer du code VS des centaines pour les autres systèmes.
L'open source conserve cet énorme avantage : plus de monde pour vérifier et proposer des correctifs 😀
Les backdoors vraiment underground restent rare mais il doit y en avoir quelques unes. Comme la fameuse dans gcc.
Surtout que les organisateurs ou petit malin qui les ont mis font tout pour que ca soit utilisé tres ponctuellement.
Meme l'open source ne protège pas, mais reste quand meme extrêmement safe.
L'histoire du code reste enregistré, on finit toujours pas les trouver quelque soit le temps que ca prenne.
C’est justement parce que c’est de l’open source que la faille a été introduite, puis si facilement trouvée ! L’open source est donc plus safe que le propriétaire.
@Unnaymed Au moins cette fois-ci, elle a été trouvée avant de défrayer la chronique.
Superbe chaîne très intéressant :)
Merci Clément ! 😀
C'est dingue que depuis tout ce temps Linux est encore vulnérable à des petits fichiers 😮
C'est le principe des supply chaine attacks : s'attaquer à des petites appli moins visibles et pourtant essentielles, notamment côté serveur. Ca n'est hélas par la première ... ni la dernière.
Bonjour, où trouver le diagramme temporel qui est montré plusieurs fois dans la vidéo ?
Bonjour, le lien vers le diagramme est en description 😀
je trouve ça dingue que lors d'une maj, les fichiers fichiers nouvellement ajoutés (en l'occurrence ici les fichiers de tests), ne soient par défaut l'objet d'une attention particulière. Ceci est dit en complet néophyte en la matière, en toute naieveté...
Ca reste quand même exceptionnel. Espérons que cet épisode poussera à faire plus de contrôle du côté des utilisateurs des packages 😀
@@codeconceptc’est une erreur de compréhension, les vérifications sont à faire côté distribution, et encore, cela ne concernait que les distributions en développement, donc explicitement déconseillées en production.
Debian testing, fedora core dev... Qui utilise des "branches" de dev ou test en production ou en os principal sur serveur ou non? La dernière cve de la glibc a plus d'intérêt a être exposée..
Si ça n’avait pas été découvert par hasard ça aurait finit en pris tôt ou tard
@sebastientisserand866 Je vais suivre cette histoire cd CVE sur la glibc 😀
Attend Attend... Le maintainer, il a push ça en production ? Parce que normalement il est censé relire un minimum, et ne pas envoyer les fichiers de tests... Le package vérolé est installable et a été installé ? Qu'est ce que tu entends par "contenue de justesse" ?
On aura beau dire qu'il font de leur mieux, que l'attaquant a gagné "sa confiance" peut être, mais les gens qui utilise ce package on juste confiance chez le maintainer ! Nous on ne le connais pas le mec qui push des grosses lignes de codes malveillantes cachées...
Quand on accepte les contributions, on accepte aussi de les vérifier et de les relire...
Le problème, c'est que le maintainer principal était ... le gars malveillant. Un peu comme si un braqueur devenait guichetier puis montait les échelons jusqu'à devenir le directeur d'agence.
Mode saracasme
Aucun probleme, tu n'as qu'à pas utilisé son package, ;-)
Ah on me dit que c'est embarqué partout sur Nunux , paye ta licence windows.
Serieux, tu penses que l'opensource est gratuit , genre j'utilise mais ne participe pas.
Le mainteneur a surement relu le code, la chaine de production ne livre pas les fichiers de tests , sauf que le malotru a altéré la chaine de production pour générer le build avec du code stocké dans des ficheirs de tests.
Pervers comme méthode, mais j'aime bien
À se demander s'il ne faut pas désassembler tous les .o des distributions Linux les plus employées
pour vérifier que leur code assembleur contient bien des instructions plausibles pour leur exécutable.
Car ce qui a été fait ici peut être présent dans d'autres exécutables, et peut-être depuis des années...
Salut,
Alors je n'y connais vraiment rien, mais la question qui me vient c'est : Est-ce que depuis Vault7 on n'a pas acté que les backdoors sont présents partout quelle que soit la distro ?!
Et puis : est-ce que se débrouiller pour laisser une signature chinoise (ou russe évidemment) n'est pas la marque évidente et grossière d'un service étasunien finalement plus intéressé par l'effet d'une psy-op médiatique que par les datas ?!
Salut,
Le problème dans le monde de l'espionnage, c'est qu'il faut attendre des décennies (avant une déclassification de documents puis enquête), des changements de régimes ou effectivement des fuites de lanceurs d'alertes avant de savoir qui est réellement derrière ce genre de backdoor.
En préparant cette vidéo, je suis tombé sur des utilisateurs qui parlaient mandarin pour les uns, cantonais pour les autres, qui disaient que le pseudo github du gars malveillant correspondait à une mauvaise orthographe d'un nom courant. Un peu comme si un pays voulait faire porter le chapeau à la France en créant un user "Martin", car c'est un nom courant .. mais en l'orthographiant "Martain" 😄
Si bien que ça pourrait être des Américains ou des Russes (ou des Coréens etc) qui pourraient essayer de faire porter le chapeau à la Chine.
La génération de nos enfants le saura.
Je m'abonne !
Merci beaucoup pour ces informations qui me laissent dubitatif... Car j'utilise deux os évoqués : mac os x et linux Mint. Le premier dans le cadre professionnel et le second pour faire tout ce que j'appelle « mon administratif». Que faire, quand comme moi on est simplement utilisateur est loin d'être expert comme vous ? !
C'est ouf !!
Y a forcément d'autre.
Espérons qu'il y aura d'autres Andres Freund pour les trouver 😀
Je suis persuadé que ce n est pas l unique backdoor. De nombreuses attaques sont préparés pendant des années avant de les declencher. Ce n est pas forcement le monopole des etats.
Salut merci pour ta vidéo sais-tu si linux mint est touchée ?
whereis xz
normalement xz se trouve /usr/bin/xz
ensuite, xz --version.
Normalement, Mint n'est pas touché
@xsc114 Salut 😀, apparemment, pas de problème avec linux mint :
"The malware is in the xz source tarball (not in the xz source from git) and affected .deb and .rpm based distros which patched their ssh server to use liblzma from xz. Most users don't run a ssh server on their computer so this looks to be a targeted attack to get a backdoor on servers. That's what is known now; a full security audit has not yet been done so more can come to light, also for past releases.
If anything good comes from this it's (hopefully) more projects replacing autotools with modern build systems. And well, maybe move on to Zstd. And more focus on reproducible builds and OSS fuzzing."
Merci beaucoup pour vos infos de qualité ! J'ai un petit laptop sous ubuntu 22.04.4 uniquement dédié à mes cryptomonnaies. Est-ce que c'est encore assez sécurisé finalement ? Devrais-je changer d'OS ?
Merci Michael 😀
Il faut vérifier les versions de xz et de liblzma qui doivent être inférieures à la 5.6
xz --version
Avec en prime, pour en savoir davantage sur ce que font sshd et lmza à cet instant :
pgrep -f 'sshd.*listener' | sudo xargs lsof -p | grep -F lzma.so
Pour plus de détails spécifiques à Ubuntu :
askubuntu.com/questions/1509015/is-ubuntu-affected-by-the-xz-backdoor-compromise
😉
@@codeconcept merci beaucoup !
Sous ubuntu je suis :
xz (XZ Utils) 5.2.5
liblzma 5.2.5
Donc c'est safe chez moi ouf !
Bonjour,
Ca fait toujours plaisir de voir des "super informaticiens/conseillers techniques" donner leur avis "de pro" et utiliser au quotidien fièrement des Mac système le plus cloisonné et espionné du monde. (LOL).
On va dire c'est la bourgeoisie des "ingénieurs IT" moderne.
Rien que le fait que vous ne connaissiez pas xz, et donc les compression .tar.xz bien connue dans le monde libre porte atteinte à votre crédibilité.
Votre vidéo est intéressante, mais bien trop biaisé, courte et incomplète.
Je conseille aux viewers de voir celle d'un certain Adrien.
Ce qui a échappé à ta majesté, c'est que je me suis faire tordre le bras pour acheter un Mac lors d'une mission où 80% des clients de mon client avaient ... des iPhone.
J'ai bien essayé de résister en utilisant un service un ligne qui me permettait de tester mon appli hybride sur des iPhone distants, mais la latence était telle qu'il était impossible de savoir si elle venait de problème de performance de mon appli ou d'une latence du service en ligne. Donc pas le choix, vue l'extrême fermeture de l'éco-système de la marque à la pomme, j'au dû acheter un Mac et même un iPhone pour déployer / tester / débuguer en local. Ca m'a fait mal de dépenser autant dans du matériel qui, d'après moi, ne le vaut pas.
Tu peux donc redescendre de tes grands chevaux et te détendre un peu. Quand je ne sais pas, je le reconnais. Quand tu ne sais pas, tu juges sans nuance. C'est ce qui nous distingue et c'est une bonne chose.
edit : j'ai plutôt eu affaire à des fichiers tar.gz, ça doit faire de moi un imposteur 😅
Ton commentaire confirme les raisons pour lesquelles les gens n'osent pas s'intéresser à Linux
Un gouvernement a tellement de moyen que ça ne me suprendrai pas par contre moi ce que me derange c'est pourquoi en 2021 ? Et pas avant ? La geopolitique actuel nous brouille tout jugement
Je sais pas si 2021 a été pire qu'une autre année, mais la cyber sécurité va probablement recruter de plus en plus ...
Et donc c'est patché du coup ?
Progressivement oui. C'est pour ça qu'il vaut regarder spécifiquement pour sa distro linux et voir si elle concernée, et si oui , patchée.
Pffff... ça craint...
Si vous connaissiez le nombre d'échanges de crypto-monnaie qui ont été piratés grâce à cette méthode à l'époque, cela s'explique par le fait que les sources de chaque coin n'étaient pas suffisamment vérifiées. Certains projets abandonnés étaient repris par d'autres développeurs, qui, progressivement, intégraient une backdoor pour accéder à l'infrastructure de l'échange une fois qu'ils avaient été acceptés.
faut vraiment arrêter avec l'open source , on court à la catastrophe. Utilisez l'open-source pour vos projets persos mais en entreprise il faut absolument stopper ça. le Closed Source n'empêchera pas les attaques et les failles , mais ca restera beaucoup moins facile pour les hacker que d'avoir les sources libres d'accès. L'open source , c'est le rêve pour un hacker.
Je regarde la vidéo, je check quel version d'XZ j'ai, 5.6.0. Je fait une MAJ, je suis maintenant en ... 5.6.1 🤣. J'ai plus qu'a attendre une nouvelle MAJ de Manjaro lol
😂😂😂
manjaro arm mis a jour et endeavouros x86-64 aussi , apparemment la 5.6.1-2 est corrigée