backdoor

kami911 képe

Több száz Gigabyte modellen található backdoor, amely több millió eszközt érint

Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.

kami911 képe

A BlackLotus ellen adott ki útmutatót az NSA

Az NSA június 22-én kiadott egy útmutatót, amely segít a szervezeteknek a BlackLotus nevű UEFI bootkit fertőzéseinek felderítésében és megelőzésében.

A BlackLotus egy fejlett megoldás, amely képes megkerülni a Windows Secure Boot védelmét és amelyre először 2022 októberében a Kaspersky hívta fel a figyelmet. Ezt a Baton Drop (CVE-2022-21894, CVSS score: 4.4) nevű ismert Windows hiba kihasználásával éri el, amelyet a Secure Boot DBX visszavonási listájára fel nem vett sebezhető boot loadereket fedeztek fel. A sebezhetőséget a Microsoft 2022 januárjában orvosolta.

kami911 képe

SSH publikus kulcsok fertőzése hátsó ajtókkal

Megjelent egy cikk, amelyben publikáltak egy egyszerű módszert, hogyan lehet hátsó ajtót hozzáadni egy SSH alapú bejelentkezéshez, az SSH nyilvános kulcs manipulálásával. A hátsó ajtó minden alkalommal végrehajtódik, amikor a felhasználó bejelentkezik. A hátsó ajtó egy ember számára nehezen olvasható, hosszú hexa karakterláncnak látszik, amelyet elrejthetnek a támadók a ~/.ssh/authorized_keys vagy a ~/.ssh/id_*.pub fájlban.

kami911 képe

A PyTorch-nightly ellátási láncának fertőzése

Manapság sajnos divatos támadási mód és meglehetősen nagy támadási felület különféle központi csomagtárolókban elhelyezett csomagok fertőzése, vagy a csomagok nevével történő megtévesztés. A pip segítségével telepített PyTorch-nightly Linux-csomagok 2022. december 24 és december 30 között telepítettek egy függőséget, a torchtriton-t, amely a Python Package Index (PyPI) kódtárolójában jelent meg. Ez kompromittálódott függőség a PyPI-ből települ egy megbízható külső forrás helyett. Ennek oka, hogy a pip a PyPI forrást preferálja a csomagok telepítéséhez. Ez egy rosszindulatú bináris programot telepített a számítógépre. Ez az úgynevezett ellátási lánc támadás, amely közvetlenül érinti a nyilvános csomagindexeken tárolt csomagok függőségeit. A PyPI a nyílt forráskódú csomagok tárháza, amelyet a fejlesztők arra használhatnak, hogy megosszák munkájukat, vagy mások munkájából profitáljanak, letöltve a projektjeikhez szükséges funkcionális könyvtárakat. A PyTorch stabil csomagokat alkalmazó felhasználókat ez a probléma nem érinti.

kami911 képe

Ellátási láncok fertőzése

Manapság sajnos divatos támadási mód és meglehetősen nagy támadási felület különféle központi csomagtárolókban elhelyezett csomagok fertőzése, vagy a csomagok nevével történő megtévesztés.

PyPI-t érintő támadások

A PyPI a nyílt forráskódú csomagok tárháza, amelyet a fejlesztők arra használhatnak, hogy megosszák munkájukat, vagy mások munkájából profitáljanak, letöltve a projektjeikhez szükséges funkcionális könyvtárakat.

A PyPI "ctx" modulját, amelyet hetente több mint 20 000-szer töltenek le, egy szoftverellátási láncot érintő támadás során támadták meg. A rosszindulatú verziók célja ellopni a környezetben futó alkalmazás környezeti változóit. A fenyegetés elkövetője még a "ctx" régebbi, biztonságos verzióit is lecserélte olyan kódra, amely a fejlesztő környezeti változóit kiszivárogtatja, hogy olyan titkokat gyűjtsön, mint az Amazon AWS kulcsok és hitelesítő adatok.

A múlt héten egy másik rosszindulatú Python-csomagot szúrtak ki a PyPI rendszerben, amely szintén ellátási lánc-támadásokat hajt végre. A Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program Windows, Linux és macOS rendszereken is működik. 2022. május 17-én ártó szándékú szereplők egy "pymafka" nevű rosszindulatú csomagot töltöttek fel a PyPI-ra. A név nagyon hasonlít a PyKafka-hoz, amely egy széles körben használt Apache Kafka kliens Python-hoz. Az eredeti csomagot összesen több mint négymillió letöltést számlál a PyPI nyilvántartása szerint. Az elírással megadott nevű fertőzött csomag mindössze 325 letöltést ért el, mielőtt eltávolították volna azt. Az érintettek számára azonban még így is jelentős károkat okozhat, mivel lehetővé teszi a kezdeti hozzáférést a fejlesztő belső hálózatához. A Sonatype rendszer fedezte fel a pymafka-t és jelentette a PyPI-nak, amely azután hamar eltávolította a kártékony csomagot. Mindazonáltal azoknak a fejlesztőknek, akik letöltötték, azonnal le kell cserélniük, és ellenőrizniük kell a rendszereiket Cobalt Strike típusú vezérlő és hátsó ajtókat telepítő rossz szándékú program után kutatva.

PHP/Composer-t érintő támadások

Emellett a PHP/Composer Packagist csomagtárban közzétett "phpass" fork verzióit is módosították, hogy hasonló módon lopjanak el titkokat. A PHPass keretrendszer több mint 2,5 millió letöltést regisztrált a Packagist adattárban élete során - bár a rosszindulatú verziók letöltési számai vélhetően jóval kisebbek.

Ti használtok külső tárolókat? Melyik tárolókat? Milyen módon ellenőrzitek?

Feliratkozás RSS - backdoor csatornájára