- بواسطة x32x01 ||
حبايبنا المهندسين اللي بيستخدموا توزيعات لينكس زيي كده
عندى ليكم اخبار الى حد ما مقلقه شويا
النهارده تم اكتشاف Backdoor في توزيعات لينكس من مهندس سوفت وير شغال في ميكروسوفت ولاحظ لاج او تأخير 500 مللي في الثانيه في البروسيسور
وحس ان ده شئ مريب
وتم اكتشاف الـ Backdoor عن طريق مكتبة LIBLZMA
الضرر وصل ل RCE عن طريق SSHD
مسؤولين الانظمة
ياشباب الباك دور دي عند الناس اللي حدثت kali من يوم 26 ليوم 29
فلازم تعمل تحديث تاني دلوقتي علشان ثغرة الـ Backdoor
اللي في التحديث اللي عندك دلوقتي ممكن حد ياخد الماشين كلها وممكن يرفعها اونلاين فمتحدثش الكالي ب source's
من مواقع غير موثوقة خصوصا إنك ممكن متكونش واخد بالك إن السورسس دي بيبقي فيها Backdoor أو مش صحيح
عم اندريس جرب يعمل Benchmark مرة تانيه لكن المرادى التجربة كانت على كم مدة الوقت المستغرق في وقت تسجيل الدخول باستعمال SSH, مرة مع المكتبة ومرة بدون المكتبة وكان الفارق بينهم عبارة عن اجزاء من الثانية .. تقريباً 6 ملي ثانية "Millisecond" انت متخيل
يعني اقل من ثانية؟ اه زي مابقولك كده والله اقل من ثانية
ممكن اي شخص يشوف الفرق ويقول بسيط جداً لكن لما تاخدها من منظور تاني هتقول ليه اداة ضغط ملفات زي xz يكون ليها تأثير مباشر على SSH
بعد ما اندريس كمل تحليل xz اكتشف ان سبب التاخير هو ان الـSSH في كل مرة بيحصل تسجيل دخول جديد وفق شروط معينة بيحول مفاتيح التحقق للباك دور كود لمكتبة liblzma بعدها بيكمل تحقق SSH طبيعي
والاكيد ان ده مش طبيعي خااالص فأبلغ عنه
- مين هو بقى هو بتاع الباك دور Jia Tan (JiaT75) ؟
جيا تان "Jia Tan" غالباً ده اسم مستعار ممكن يكون وره مجموعة اشخاص
كان بيتواصل مع باقي مطورين xz عن طريق Internet Relay Chat "IRC" الهاص بمشروع xz وكان بيستعمل IP 185.128.24.163 من سنغافورة, ومنقدرش نحكم هل هو فعلا من سنغافورة والا لا لانه كان يستعمل VPN من NordVPN
وكان ليه اسماء مستعارة تانيه زي:
تقدر تاخذ نظرة عن الايميلات اللي كان بيتواصل بيها مع المطورين وازاى كان قادر يقنعهم ويبقى جزء من المشروع في الرابط اللي تحت
https://www.mail-archive.com/xz-devel@tukaani.org/
عندى ليكم اخبار الى حد ما مقلقه شويا
وحس ان ده شئ مريب
وتم اكتشاف الـ Backdoor عن طريق مكتبة LIBLZMA
الضرر وصل ل RCE عن طريق SSHD
Code:
Number: CVE-2024-3094 Code:
sudo apt-get update && apt-get upgradeفلازم تعمل تحديث تاني دلوقتي علشان ثغرة الـ Backdoor
اللي في التحديث اللي عندك دلوقتي ممكن حد ياخد الماشين كلها وممكن يرفعها اونلاين فمتحدثش الكالي ب source's
من مواقع غير موثوقة خصوصا إنك ممكن متكونش واخد بالك إن السورسس دي بيبقي فيها Backdoor أو مش صحيح
عم اندريس جرب يعمل Benchmark مرة تانيه لكن المرادى التجربة كانت على كم مدة الوقت المستغرق في وقت تسجيل الدخول باستعمال SSH, مرة مع المكتبة ومرة بدون المكتبة وكان الفارق بينهم عبارة عن اجزاء من الثانية .. تقريباً 6 ملي ثانية "Millisecond" انت متخيل
يعني اقل من ثانية؟ اه زي مابقولك كده والله اقل من ثانية
ممكن اي شخص يشوف الفرق ويقول بسيط جداً لكن لما تاخدها من منظور تاني هتقول ليه اداة ضغط ملفات زي xz يكون ليها تأثير مباشر على SSH
بعد ما اندريس كمل تحليل xz اكتشف ان سبب التاخير هو ان الـSSH في كل مرة بيحصل تسجيل دخول جديد وفق شروط معينة بيحول مفاتيح التحقق للباك دور كود لمكتبة liblzma بعدها بيكمل تحقق SSH طبيعي
والاكيد ان ده مش طبيعي خااالص فأبلغ عنه
- مين هو بقى هو بتاع الباك دور Jia Tan (JiaT75) ؟
جيا تان "Jia Tan" غالباً ده اسم مستعار ممكن يكون وره مجموعة اشخاص
كان بيتواصل مع باقي مطورين xz عن طريق Internet Relay Chat "IRC" الهاص بمشروع xz وكان بيستعمل IP 185.128.24.163 من سنغافورة, ومنقدرش نحكم هل هو فعلا من سنغافورة والا لا لانه كان يستعمل VPN من NordVPN
وكان ليه اسماء مستعارة تانيه زي:
Code:
Jia Tan jiat0218@gmail.com
jiat75 jiat0218@gmail.com
Jia Cheong Tan jiat0218@gmail.comتقدر تاخذ نظرة عن الايميلات اللي كان بيتواصل بيها مع المطورين وازاى كان قادر يقنعهم ويبقى جزء من المشروع في الرابط اللي تحت
https://www.mail-archive.com/xz-devel@tukaani.org/