Новости Сканер бэкдора XZ Utils в два счёта обнаружит заражение в любом бинарном файле Linux

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Планы хакеров пошли прахом, теперь сообщество разработчиков во всеоружии.


mm6z5vk302026d4ra6zov616ctsce9tc.jpg


Компания Binarly , специализирующаяся на безопасности программного обеспечения, Для просмотра ссылки Войди или Зарегистрируйся для выявления файлов Linux , подверженных влиянию Для просмотра ссылки Войди или Зарегистрируйся в утилитах XZ Utils, получившей обозначение Для просмотра ссылки Войди или Зарегистрируйся

CVE-2024-3094 представляет собой компрометацию цепочки поставок в XZ Utils — наборе инструментов и библиотек для сжатия данных, используемых в многих основных дистрибутивах Linux.

Открытие вредоносного кода в последней версии пакета XZ Utils Для просмотра ссылки Войди или Зарегистрируйся инженером Microsoft Андресом Фрейдом в ходе расследования замедления входа в систему через SSH в Debian Sid.

Вредоносный код был добавлен анонимным участником сообщества разработчиков в версию XZ 5.6.0 и сохранялся в 5.6.1, однако большинство дистрибутивов Linux использовали более раннюю, безопасную версию библиотеки. Для распространения заражения на все актуальные дистрибутивы понадобилось бы довольно много времени, но, к счастью, бэкдор обнаружили довольно быстро.

В ответ на выявление бэкдора американское агентство CISA Для просмотра ссылки Войди или Зарегистрируйся всем затронутым поставщикам программного обеспечения откатить XZ Utils в своих сборках до версии 5.4.6 Stable, а также сообщать потенциальных пострадавших о любой фиксируемой ими вредоносной активности.

Binarly отмечает, что предыдущие методы борьбы с угрозой, основанные на простых проверках, таких как сопоставление строк байтов, блокирование хэшей файлов и правила YARA, могут приводить к ложным срабатываниям. Разработанный компанией сканер предназначен для выявления подобного рода бэкдорах в любых файлах, используя статический анализ бинарных файлов для определения подмены переходов в GNU Indirect Function (IFUNC).

Особенность злоумышленного кода заключается в изменении вызовов IFUNC для перехвата выполнения, что позволяет вставлять вредоносный код. Этот механизм используется найденным бэкдором для первоначального контроля над выполнением кода.

Сканер Binarly увеличивает эффективность обнаружения, поскольку он сканирует различные точки цепочки поставок, не ограничиваясь только проектом XZ Utils, и предоставляет результаты с гораздо большей точностью.

Онлайн-сканер уже доступен на сайте Для просмотра ссылки Войди или Зарегистрируйся Он позволяет пользователям загружать свои бинарные файлы для бесплатной проверки без ограничений. Кроме того, Binarly предоставила бесплатный API для выполнения массовых проверок для тех, кто в этом нуждается, что упрощает процесс обнаружения и защиты от атаки на цепочку поставок.
 
Источник новости
www.securitylab.ru

Похожие темы