Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
View Regular
polvo à galega Profile picture
polvo à galega
@coproduto
CTO na @appcumbuca | Threads de tecnologia no fixado | Inimigo da orientação a objetos

Mar 30, 22 tweets

Tá, mas e se eu contar pra vocês que nos últimos dias tá rolando uma história de intriga digna de filme de espionagem, tudo em torno de uma tentativa de invadir máquinas no mundo todo?

Vem na thread que vou te explicar. 🧵 #bolhasec

O "xz" é uma aplicação de compressão usada em várias distros linux. Ele em geral atinge taxas de compressão menores que o tradicional gzip, ao custo de usar mais memória, então ele vem sendo escolhido pra cada vez mais aplicações. Até aí tudo ótimo.

O xz, como várias ferramentas Linux, oferece suas funcionalidades tanto como uma aplicação de terminal quanto uma biblioteca que pode ser consumida por outras aplicações - nesse caso a liblzma, nomeada pelo algoritmo LZMA que o xz usa.

O problema foi descoberto ontem - com uma postagem na lista de emails "oss-security" feita pelo @AndresFreundTec, um dev do PostgreSQL. O Andres começou a perceber lentidão em sessões SSH no Debian Linux e foi investigar. O que ele não esperava era encontrar um backdoor.

@AndresFreundTec A versão 5.6.0 do xz introduziu uma mudança que é injetada, aparentemente, SÓ nos releases. O código malicioso não está no repo - ele é injetado apenas na hora de gerar o release, o que torna ele mais difícil de detectar.

@AndresFreundTec A alteração injetada consiste em uma única linha no script "configure" () que, por sua vez, altera o Makefile do projeto. A alteração no Makefile, por sua vez, descomprime e executa um dos arquivos na pasta tests do projeto.salsa.debian.org/debian/xz-util…

@AndresFreundTec Aqui vale um parêntese: Como o xz é uma aplicação de compressão, tem vários arquivos comprimidos na pasta tests pra testar vários casos de descompressão.

@AndresFreundTec Esse arquivo foi adicionado como se fosse um teste normal, mas ele continha código bash comprimido que o código adicionado no Makefile descomprime e executa.

@AndresFreundTec Tem mais alguns passos no meio pra dificultar entender o que está acontecendo, mas o efeito final é: Se o build do xz estivesse rodando em uma máquina Debian ou sendo iniciado pelo gerenciador de pacotes RPM, ele linkava uma versão modificada do código da liblzma.

@AndresFreundTec Nesse código, algumas funções relacionadas com checagens de integridade foram alteradas para modificar dinamicamente a função RSA_public_decrypt caso ela fosse chamada.

@AndresFreundTec Essa função *não existe* no código da liblzma - ao invés disso, ela é usada (a partir do OpenSSL) pelo SSH no Debian na autenticação da conexão.

@AndresFreundTec Ou seja - uma alteração é injetada de forma extremamente circuitosa para no final afetar binários do SSH que usam compressão xz no Debian, e provavelmente permitir invasão de máquinas e execução remota de código. E é esse o backdoor que o Andres encontrou.

@AndresFreundTec Vocês podem ver a notificação completa sobre o backdoor aqui: . Também recomendo se vocês tiverem o xz versão 5.6.x instalado em qualquer máquina, vocês atualizarem imediatamente.

Mas fica outra pergunta: quem estaria interessado em fazer isso?openwall.com/lists/oss-secu…

@AndresFreundTec Bom, vou introduzir o segundo personagem da nossa história: O "Jia Tan", um contribuidor frequente do xz. Como vocês podem ver aqui, ele vinha contribuindo para o xz desde o fim de 2022. 13/20 play.clickhouse.com/play?user=play…

O Jia Tan, sob seu usuário do GitHub JiaT75, introduziu os commits com o backdoor no projeto. Mas após o backdoor ter sido descoberto, também foi descoberto que ele fez muito mais do que só isso. 14/20

Por exemplo, nosso hacker também contribuía para o projeto "xz-java" e ele adicionou o seguinte aviso (traduzido por mim):

"Se você descobrir uma vulnerabilidade de segurança neste projeto, por favor a reporte em privado. (...) Não crie um issue público".

Lendo entre as entrelinhas e agora sabendo do contexto, podemos entender como: "Me garanta tempo para ajustar meus exploits e tornar eles mais difíceis de achar".

Além disso, alguns mantenedores de distribuições Linux vieram a público dizer que essa pessoa estava em contato com eles, buscando convencê-los a atualizar tão rapidamente quanto possível para versões 5.6.x do xz pois "tinha muitas features novas incríveis".

Então é essa a situação: Temos uma pessoa que se infiltrou num projeto open-source, ganhando confiança por mais de um ano e adicionando vários arquivos binários ao projeto. Essa pessoa então usou a confiança vinda disso pra tentar acelerar a adoção do seu backdoor.

No final, terminamos com mais perguntas do que começamos: Quem é Jia Tan? Em algum momento a conta foi legítima e ela foi comprometida ou sempre foi um ator malicioso? O que mais ele pode ter escondido no xz nos mais de 12 meses que passou no projeto?

E talvez a pergunta mais importante: Quais são os interesses por trás disso?

Além disso: será que o código no backdoor realmente afeta só o SSH ou há outras funcionalidades ainda não descobertas? Eu pretendo seguir acompanhando essa história nos próximos dias.

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling