Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.

Megjelent egy cikk, amelyben publikáltak egy egyszerű módszert, hogyan lehet hátsó ajtót hozzáadni egy SSH alapú bejelentkezéshez, az SSH nyilvános kulcs manipulálásával. A hátsó ajtó minden alkalommal végrehajtódik, amikor a felhasználó bejelentkezik. A hátsó ajtó egy ember számára nehezen olvasható, hosszú hexa karakterláncnak látszik, amelyet elrejthetnek a támadók a ~/.ssh/authorized_keys vagy a ~/.ssh/id_*.pub fájlban.

Manapság sajnos divatos támadási mód és meglehetősen nagy támadási felület különféle központi csomagtárolókban elhelyezett csomagok fertőzése, vagy a csomagok nevével történő megtévesztés.

PyPI-t érintő támadások

A PyPI a nyílt forráskódú csomagok tárháza, amelyet a fejlesztők arra használhatnak, hogy megosszák munkájukat, vagy mások munkájából profitáljanak, letöltve a projektjeikhez szükséges funkcionális könyvtárakat.

A PyPI "ctx" modulját, amelyet hetente több mint 20 000-szer töltenek le, egy szoftverellátási láncot érintő támadás során támadták meg. A rosszindulatú verziók célja ellopni a környezetben futó alkalmazás környezeti változóit. A fenyegetés elkövetője még a "ctx" régebbi, biztonságos verzióit is lecserélte olyan kódra, amely a fejlesztő környezeti változóit kiszivárogtatja, hogy olyan titkokat gyűjtsön, mint az Amazon AWS kulcsok és hitelesítő adatok.

A múlt héten egy másik rosszindulatú Python-csomagot szúrtak ki a PyPI rendszerben, amely szintén ellátási lánc-támadásokat hajt végre. A Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program Windows, Linux és macOS rendszereken is működik. 2022. május 17-én ártó szándékú szereplők egy "pymafka" nevű rosszindulatú csomagot töltöttek fel a PyPI-ra. A név nagyon hasonlít a PyKafka-hoz, amely egy széles körben használt Apache Kafka kliens Python-hoz. Az eredeti csomagot összesen több mint négymillió letöltést számlál a PyPI nyilvántartása szerint. Az elírással megadott nevű fertőzött csomag mindössze 325 letöltést ért el, mielőtt eltávolították volna azt. Az érintettek számára azonban még így is jelentős károkat okozhat, mivel lehetővé teszi a kezdeti hozzáférést a fejlesztő belső hálózatához. A Sonatype rendszer fedezte fel a pymafka-t és jelentette a PyPI-nak, amely azután hamar eltávolította a kártékony csomagot. Mindazonáltal azoknak a fejlesztőknek, akik letöltötték, azonnal le kell cserélniük, és ellenőrizniük kell a rendszereiket Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program után kutatva.

PHP/Composer-t érintő támadások

Emellett a PHP/Composer Packagist csomagtárban közzétett "phpass" fork verzióit is módosították, hogy hasonló módon lopjanak el titkokat. A PHPass keretrendszer több mint 2,5 millió letöltést regisztrált a Packagist adattárban élete során - bár a rosszindulatú verziók letöltési számai vélhetően jóval kisebbek.

Ti használtok külső tárolókat? Melyik tárolókat? Milyen módon ellenőrzitek?