有人(疑似中共技术特工)向基础软件投毒植入后门,已有Linux中招,少数MacOS用户受影响
详细报道、社区讨论分析都已经满天飞,英文中文都有:
英文的:
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
【警告:链接内容可能存在钓鱼网址,请勿打开】https://news.ycombin ator.com/item?id=39869068
中文的:
https://www. cnbeta.com.tw/articles/tech/1425585.htm
https://twitter.com/Blankwonder/status/1773921956615877110
https://www.v2etwitter.com/t/1028287
https://www.v2etwitter.com/t/1028288 (此贴被移入隐藏区,请参考备份 https://web.archive.org/web/20240330083006/https://www.v2etwitter.com/t/1028288)
简单来说,就是:
本次受到攻击的最终目标为Linux版sshd(这是个基础设施程序,用于远程连接),3月份最新测试版的Fedora和Debian都中了招;Arch Linux的sshd不受影响但xz命令和liblzma都受到污染。
现在这几个Linux已经采取了紧急更新措施,移除掉带毒软件。4月份释出的最新测试版可以放心使用。
至于苹果系统,暂时只影响到了少数homebrew用户,因为homebrew的xz-utils和liblzma刚好更新到了受污染版本。
过程简述:
一个名为Jia Cheong Tan的网络账号,持续3年为基础软件库xz-utils、liblzma提交代码,以取得信任。
最近xz-utils的原作者休假,Jia Cheong Tan趁机动手。他向测试验证过程做了手脚,一旦Linux发行版在编译过程后运行测试程序,就会触发“植入后门”,把后门植入xz 5.6.0 和 5.6.1,以及liblzma。
恰好,部分Linux的OpenSSH会用到liblzma(这是个重点,稍后再讲),于是sshd就带后门了。后果就是,后门作者及相关人士,都可以利用该后门随意进入Linux服务器。
然而该后门有bug,会导致CPU使用率飙升,被安全研究人员发现。阴谋就此曝光。
中招的sshd:
正常来说,OpenSSH (sshd的本体)是不需要用到liblzma的,但由于大多数Linux都使用systemd,为了方便起见,部分Linux就魔改了OpenSSH,跟systemd无缝集成。而systemd又需要用到liblzma,于是间接导致sshd受到感染。
这就是为什么Fedora和Debian都中了招,因为它们都魔改了OpenSSH。Arch Linux没有魔改OpenSSH,所以没事。
此外,Jia Cheong Tan还尝试催促Ubuntu收录最新版程序,好让后门顺利进入Ubuntu。
除了Linux和MacOS,其它系统呢?
还好的是,其它系统不受影响。
OpenSSH的源头是OpenBSD,现在已知OpenSSH本体不受影响,并且OpenBSD使用的xz和liblzma都不是最新版,所以OpenBSD没事。
其它BSD,都是直接用原版OpenSSH,并且xz和liblzma同样不是最新版,所以像FreeBSD、NetBSD之类的同样没事。
Windows 10、11的OpenSSH不依赖systemd,并且连xz和liblzma都不自带,因此也没事。
其它细节,为什么在标题加注“疑似中共技术特工”:
根据其他人的挖掘(请见前述v2ex讨论帖,可能需要登录查看),Jia Cheong Tan专门为龙芯架构提交过性能优化的代码。
而放眼全世界,最熟悉龙芯架构的也就华人。准确点说,是中共技术人员。
更重要一点,Jia Cheong Tan的作息十分有规律——“推上国外已经有人开始怀疑国内的人了,因为其规律的工作日提交时间,以及避开了国内法定节假日的时间”(来自前述v2ex讨论帖)
那么,熟悉龙芯架构、特意潜伏3年博取信任、作息时间恰好是中国作息规律的华人技术人员,很大概率就是中共技术特工。
附加一点个人看法
中共故意污染Linux已经不是一天两天的事情了。很早之前,它们就已经把自家的“国密算法”送进了Linux内核代码。这个相对好点,只要不用“国密算法”就行。
再加上近几年中共狂推“国产系统”,可以说,精通Linux的中共技术特工越来越多,Linux受到的威胁只会越来越大。
如果不是因为后门程序有bug,恐怕这毒就会长时间“驻扎”到各大Linux系统。毕竟Fedora和Debian都是基础性质的上游发行版,有不少发行版都是基于这两个修改而成。真出现这种情况的话,那就是地震式的安全威胁了。
英文的:
https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
【警告:链接内容可能存在钓鱼网址,请勿打开】https://news.ycombin ator.com/item?id=39869068
中文的:
https://www. cnbeta.com.tw/articles/tech/1425585.htm
https://twitter.com/Blankwonder/status/1773921956615877110
https://www.v2etwitter.com/t/1028287
https://www.v2etwitter.com/t/1028288 (此贴被移入隐藏区,请参考备份 https://web.archive.org/web/20240330083006/https://www.v2etwitter.com/t/1028288)
简单来说,就是:
本次受到攻击的最终目标为Linux版sshd(这是个基础设施程序,用于远程连接),3月份最新测试版的Fedora和Debian都中了招;Arch Linux的sshd不受影响但xz命令和liblzma都受到污染。
现在这几个Linux已经采取了紧急更新措施,移除掉带毒软件。4月份释出的最新测试版可以放心使用。
至于苹果系统,暂时只影响到了少数homebrew用户,因为homebrew的xz-utils和liblzma刚好更新到了受污染版本。
过程简述:
一个名为Jia Cheong Tan的网络账号,持续3年为基础软件库xz-utils、liblzma提交代码,以取得信任。
最近xz-utils的原作者休假,Jia Cheong Tan趁机动手。他向测试验证过程做了手脚,一旦Linux发行版在编译过程后运行测试程序,就会触发“植入后门”,把后门植入xz 5.6.0 和 5.6.1,以及liblzma。
恰好,部分Linux的OpenSSH会用到liblzma(这是个重点,稍后再讲),于是sshd就带后门了。后果就是,后门作者及相关人士,都可以利用该后门随意进入Linux服务器。
然而该后门有bug,会导致CPU使用率飙升,被安全研究人员发现。阴谋就此曝光。
中招的sshd:
正常来说,OpenSSH (sshd的本体)是不需要用到liblzma的,但由于大多数Linux都使用systemd,为了方便起见,部分Linux就魔改了OpenSSH,跟systemd无缝集成。而systemd又需要用到liblzma,于是间接导致sshd受到感染。
这就是为什么Fedora和Debian都中了招,因为它们都魔改了OpenSSH。Arch Linux没有魔改OpenSSH,所以没事。
此外,Jia Cheong Tan还尝试催促Ubuntu收录最新版程序,好让后门顺利进入Ubuntu。
除了Linux和MacOS,其它系统呢?
还好的是,其它系统不受影响。
OpenSSH的源头是OpenBSD,现在已知OpenSSH本体不受影响,并且OpenBSD使用的xz和liblzma都不是最新版,所以OpenBSD没事。
其它BSD,都是直接用原版OpenSSH,并且xz和liblzma同样不是最新版,所以像FreeBSD、NetBSD之类的同样没事。
Windows 10、11的OpenSSH不依赖systemd,并且连xz和liblzma都不自带,因此也没事。
其它细节,为什么在标题加注“疑似中共技术特工”:
根据其他人的挖掘(请见前述v2ex讨论帖,可能需要登录查看),Jia Cheong Tan专门为龙芯架构提交过性能优化的代码。
而放眼全世界,最熟悉龙芯架构的也就华人。准确点说,是中共技术人员。
更重要一点,Jia Cheong Tan的作息十分有规律——“推上国外已经有人开始怀疑国内的人了,因为其规律的工作日提交时间,以及避开了国内法定节假日的时间”(来自前述v2ex讨论帖)
那么,熟悉龙芯架构、特意潜伏3年博取信任、作息时间恰好是中国作息规律的华人技术人员,很大概率就是中共技术特工。
附加一点个人看法
中共故意污染Linux已经不是一天两天的事情了。很早之前,它们就已经把自家的“国密算法”送进了Linux内核代码。这个相对好点,只要不用“国密算法”就行。
再加上近几年中共狂推“国产系统”,可以说,精通Linux的中共技术特工越来越多,Linux受到的威胁只会越来越大。
如果不是因为后门程序有bug,恐怕这毒就会长时间“驻扎”到各大Linux系统。毕竟Fedora和Debian都是基础性质的上游发行版,有不少发行版都是基于这两个修改而成。真出现这种情况的话,那就是地震式的安全威胁了。
38 个评论
还好是开源的,支那畜动的手脚一下就被发现了
不光影片要做辱华防盗处理,代码仓库也应该要做处理
不光影片要做辱华防盗处理,代码仓库也应该要做处理
中共嚣张成这样了吗
不区分对象讲公开信任包容的结果
不要只怪中共
这就是普通中国人的常规操作
骗, 偷, 同归于尽
这就是普通中国人的常规操作
骗, 偷, 同归于尽
usujw
新注册用户
还好用的是Ubuntu
>>不要只怪中共这就是普通中国人的常规操作骗, 偷, 同归于尽
这次事件还真的只能怪中共。
长达3年的潜伏渗透,以及精心构造的测试文件、测试脚本,还有极其规律的作息时间(只在GMT+8上班时间活跃,中国节假日沉寂),普通中国人可没这么多的时间和精力做这件事。显然只能是国家级行为。
>>还好用的是Ubuntu
用Ubuntu并不是值得庆幸的事情,毕竟Ubuntu也是那位特工的目标系统。
要是后门程序没bug,后门没暴露,或者暴露得没那么快,那么用不了多久,Ubuntu也会受到感染的。
发现者原贴在这里,发现者本人在原帖里面说他并不是安全研究人员,所以他报告的仅仅是他有限的观察,
https://www.openwall.com/lists/oss-security/2024/03/29/4
最初是在debian上编译软件发现cpu占用过高和valgrind一大堆错误时发现的,
滚动跟踪在这里,
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
现在明确已知的一切非常有限,感觉不是件好事,debian stable目前在5.4.x版本暂不受影响,但是这个jiatan已经从两年前开始贡献代码了,以前的版本难说也被这个混蛋动了手脚,
而且不清楚这到底是一个人还是一群有组织的共用这个账号搞破坏,美国全安部门应该已经响应了,这个事情肯定要按刑事调查的,
这账号后面的人(畜生)太恶心了,
https://www.openwall.com/lists/oss-security/2024/03/29/4
最初是在debian上编译软件发现cpu占用过高和valgrind一大堆错误时发现的,
滚动跟踪在这里,
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
现在明确已知的一切非常有限,感觉不是件好事,debian stable目前在5.4.x版本暂不受影响,但是这个jiatan已经从两年前开始贡献代码了,以前的版本难说也被这个混蛋动了手脚,
而且不清楚这到底是一个人还是一群有组织的共用这个账号搞破坏,美国全安部门应该已经响应了,这个事情肯定要按刑事调查的,
这账号后面的人(畜生)太恶心了,
共匪这是要向自由世界的程序员宣战了吗?
以前log4j算是小测试, 这次玩大的, 以后中国公司大概都要从开源赞助商剔除, 可惜了这么多年的努力
不把这些死垃圾纳粹程序员拖出来接受审判是无法震慑它们的,魔鬼的工具人
芝麻人需要无差别
我看到github上一堆中国帐号的开源项目都小心, 谁知道他们写了啥, 有些项目还内置binary, 嘿嘿
太恶心了,赤纳粹果然是全世界的毒瘤,最坏的那一个,
如果是间谍,为啥要用中国名字账号,随便起个欧美白人的名字,IP地址用肉鸡设在国外不就行了
>>如果是间谍,为啥要用中国名字账号,随便起个欧美白人的名字,IP地址用肉鸡设在国外不就行了
这样反倒会起到反效果,从一开始就被人怀疑。
关键要点:
1. 他的作息时间过于明显,只在GMT+8的工作日工作时间提交代码,中国节假日则休息。
2. 他提交过龙芯架构的优化代码。懂龙芯架构的老外,包括白人,是极为罕见的。
如果使用华人名字,别人的疑惑就没那么强烈。
而且,Jia Cheong Tan这个名字不像是中国拼音,v2ex已经有人分析过:
大陆拼音没有Cheong,港澳拼音没有Jia,范围缩小到在新加坡、马来西亚。
姓名的拼音模式有可能是精心挑选过的。
>>也可能正因为是开源的,所以才容易被动手脚吧?
当然不是。这次事件主要是靠社会工程学的渗透,别说开源项目了,就算是闭源商业公司照样会遭殃。
对于开源项目而言,能否动手脚,完全取决于拥有者以及其他高权限合作者。只要这些人拒绝接受外来代码,那么别人再怎么动手脚都无法产生效果。
于是,就只能靠社会工程学的渗透,积极取得项目拥有者及高权限合作者的信任,随后加入项目取得足够高的权限,再趁别人休假时主动出手。
如此渗透,闭源商业公司也无法幸免,而且更加容易。只要特工们以求职者身份去应聘,一旦应聘成功,就意味着完全打入内部了,甚至都不需要趁别人不在意时出手,只要能糊弄内部员工就足够了,不用顾虑外面的热心人士。
就例如朝鲜政权,他们让IT工人伪造身份帮别人写程序赚外汇:
https://cn.nikkei.com/politicsaeconomy/politicsasociety/48610-2022-05-19-11-28-32.html
https://www. cnbeta.com.tw/articles/tech/1399229.htm
https://china.kyodonews.net/news/2024/03/e296b3140f84-it.html
朝鲜干得出这种事(伪造身份写代码),中共政权更加能够干得出来。
既然都在别人公司写程序了,“顺便”要求这些人故意留后门,也算不上是高难度的事情吧。
>>当然不是。这次事件主要是靠社会工程学的渗透,别说开源项目了,就算是闭源商业公司照样会遭殃。对于开源项...
要看什么公司了。大公司都有独立的安全审核团队,有意植入后门的程序,即使能糊弄开发团队的代码审核,大概率也逃不过安全审查。
需要对这类基础开源库有更多的重视, 这次其实也是开发团队的流程不够健全(有人可以不受审核的提交代码)
Jia Cheong Tan 融合了各种复杂的拼音
>>要看什么公司了。大公司都有独立的安全审核团队,有意植入后门的程序,即使能糊弄开发团队的代码审核,大概...
这方面我比较悲观。既然能够渗透入开发团队,那么自然也有很大机会渗透入安全团队。
巨无霸公司或许能够挡得住,只要员工数量足够多、团队成员遍布各个时区,专制政权的渗透就大打折扣。
然而对于规模小一点的企业,安全团队的人数不一定多,并且办公地点十分固定。这样一来,渗透的成功率会有所提高。假如特工们懂得玩办公室政治,把普通员工排挤掉,那么成功率就大幅提高了。
即使是巨无霸公司,我还是认为不太乐观。像微软和苹果的产品,总是有不少瑕疵和bug被用户发现然后发帖吐槽,事后这些巨无霸公司才慢慢修。合理推测,以“bug”的方式助力后门的触发,也不是不可能。
这次Jia Cheong Tan就亲自做了示范,“手误”打多了个点号,导致保护机制无法生效:
https://www.v2etwitter.com/t/1028585
从讨论区就看得出,不是所有人都能发现这个“手误”,人眼还不如ChatGPT。
所以我觉得有这个可能性:代码足够复杂、眼花缭乱、故意拼写错误,同时欺骗了审核团队的眼睛和AI。实在乐观不起来。
中共这些小伎俩,能够瞒得了一时,瞒不了一世。真以为白人科学家和工程师是傻逼?
>>应该是英文输入不要用全角吧?要是按照字面来做,那就可以中文半角,标点也半角,然后英文用全角。辣眼睛程...
额, 反正就全部都使用半角
全角除了两行文字对齐数字有点用, 没有其他任何存在的意义
123456789
感觉中共的人员如此规律的提交代码避开假期似乎过于大意。
仔细想想,也许这位技术人员也有点良心,通过这种避开假期的方法,既减少自己加班,也引导大家看向中共。
毕竟御用骇客的用户名应该是党组织上安排的,但提交时间估计就没管了。
仔细想想,也许这位技术人员也有点良心,通过这种避开假期的方法,既减少自己加班,也引导大家看向中共。
毕竟御用骇客的用户名应该是党组织上安排的,但提交时间估计就没管了。
已隐藏
目前有专家意见认为是俄罗斯黑客干的,xz后门这种精细程度远超中朝糙客水平,虽然最后败露的代码部分比较赶工,
https://www.wired.com/story/jia-tan-xz-backdoor/
另外感觉Jia Tan账号的头像和这个账号上传自行设计的xz logo,完全不是强国人的审美,零几年用过俄罗斯软件注册机的人都知道这种感觉,
https://avatars.githubusercontent.com/u/78042786?v=4
https://en.wikipedia.org/wiki/XZ_Utils_backdoor#/media/File:XZ_logo_contributed_by_Jia_Tan.png
https://www.wired.com/story/jia-tan-xz-backdoor/
Though that leaves countries like Iran and Israel as possibilities, the majority of clues lead back to Russia, and specifically Russia’s APT29 hacking group, argues Dave Aitel, a former NSA hacker and founder of the cybersecurity firm Immunity. Aitel points out that APT29—widely believed to work for Russia’s foreign intelligence agency, known as the SVR—has a reputation for technical care of a kind that few other hacker groups show. APT29 also carried out the Solar Winds compromise, perhaps the most deftly coordinated and effective software supply chain attack in history. That operation matches the style of the XZ Utils backdoor far more than the cruder supply chain attacks of APT41 or Lazarus, by comparison.
另外感觉Jia Tan账号的头像和这个账号上传自行设计的xz logo,完全不是强国人的审美,零几年用过俄罗斯软件注册机的人都知道这种感觉,
https://avatars.githubusercontent.com/u/78042786?v=4
https://en.wikipedia.org/wiki/XZ_Utils_backdoor#/media/File:XZ_logo_contributed_by_Jia_Tan.png
https://github.com/blasty/JiaTansSSHAgent
已经知道怎么用JiaTan的后门任意密码登录远程计算机了,
已经知道怎么用JiaTan的后门任意密码登录远程计算机了,