เมื่อวันศุกร์ที่ผ่านมา (29 มีนาคม 2024) นักพัฒนาจาก Microsoft สร้างความตกตะลึงให้กับผู้ดูแลระบบทั้งโลก เมื่อเปิดเผยว่าค้นพบแบ็คดอร์ใน xz Utils ซึ่งเป็นโอเพ่นซอร์สยูทิลิตี้ที่ใช้ในการบีบอัดข้อมูล ซึ่งมีให้ใช้งานบนระบบปฏิบัติการ Linux เกือบทั้งหมด และระบบปฏิบัติการที่คล้ายกับ Unix อื่น ๆ

โดยผู้ที่อยู่เบื้องหลังน่าจะใช้เวลาหลายปีกับโครงการนี้ ซึ่งเกือบจะสามารถทำให้เวอร์ชันที่มีแบ็คดอร์ดังกล่าวถูกรวมเข้ากับ Debian และ Red Hat ซึ่งเป็นสอง Distributions ที่ใหญ่ที่สุดของ Linux ก่อนที่นักพัฒนาซอฟต์แวร์ของ Microsoft จะสังเกตเห็นบางอย่างที่น่าสงสัย

Filippo Valsorda วิศวกรซอฟต์แวร์ และการเข้ารหัสระบุว่า "นี่อาจเป็นการโจมตีแบบ supply chain attack ครั้งใหญ่ที่สุดที่เคยถูกพบ เนื่องจากมีการใช้ส่วนประกอบที่เป็นอันตรายในไลบรารีที่มีการใช้กันอย่างแพร่หลาย"

XZ Util คืออะไร?

xz Utils ถูกใช้งานบน Linux เป็นจำนวนมากในการบีบอัดข้อมูล รวมถึงบนระบบปฏิบัติการที่คล้ายกับ Unix เกือบทั้งหมด รวมถึง Linux xz Utils ยังมีฟังก์ชันที่สำคัญสำหรับการบีบอัดข้อมูลทุกประเภท ซึ่ง xz Utils ยังรองรับรูปแบบ .lzma format อีกด้วย ทำให้ยิ่งได้รับความนิยมมากยิ่งขึ้น

นักวิจัยพบอะไร?

ในเริ่มแรก Andres Freund นักพัฒนา และวิศวกรที่ทำงานเกี่ยวกับ PostgreSQL ของ Microsoft พบปัญหาด้านประสิทธิภาพจากการใช้งาน SSH บนระบบ Debian ซึ่ง SSH เป็นโปรโตคอลที่ใช้กันอย่างแพร่หลายที่สุดสำหรับการเข้าสู่ระบบจากระยะไกล โดยเขาพบว่าการเข้าสู่ระบบด้วย SSH ใช้ CPU มากผิดปกติ และเกิด error ขึ้นที่ valgrind ซึ่งเป็นยูทิลิตี้สำหรับมอนิเตอร์หน่วยความจำบนคอมพิวเตอร์

ด้วยความระมัดระวัง และความรอบคอบของ Freund เขาพบว่าปัญหามาจากการอัปเดต xz Utils เมื่อวันศุกร์ที่ผ่านมา (29 มีนาคม 2024) Freund จึงเริ่มตรวจสอบ Open Source Security List เพื่อหาข้อมูลเพิ่มเติมจากการอัปเดต ทำให้พบว่ามีคนจงใจวางแบ็คดอร์ไว้ในใน xz Utils ดังกล่าว

ยังค่อนข้างยากที่ระบุเป้าหมาย และการทำงานทั้งหมดของแบ็คดอร์ โดย Thomas Roccia นักวิจัยของ Microsoft เผยแพร่ infographic ที่ช่วยให้เห็นภาพขอบเขตของความพยายามที่เกือบจะประสบความสำเร็จในการแพร่กระจายแบ็คดอร์ ซึ่งอาจจะเป็นการโจมตีครั้งใหญ่กว่าเหตุการณ์ SolarWinds supply chain attack ในช่วงปี 2020

แบ็คดอร์ทำอะไรบ้าง?

นักวิจัยพบว่าโค้ดอันตรายที่ถูกเพิ่มมาใน xz Utils เวอร์ชัน 5.6.0 และ 5.6.1 ได้มีการแก้ไขวิธีการทำงานของซอฟต์แวร์บางอย่าง โดยมันจะเข้าควบคุม sshd ซึ่งเป็นไฟล์ปฏิบัติการที่ใช้สำหรับสร้างการเชื่อมต่อของ SSH ซึ่งใครก็ตามที่เข้าถึง encryption key จะสามารถซ่อน code ใด ๆ ก็ตามที่ต้องการไว้ใน SSH login certificate ได้ สามารถอัปโหลดโค้ด และเรียกใช้งานบนอุปกรณ์ที่ถูกติดตั้งแบ็คดอร์ได้ นักวิจัยยังไม่เห็นโค้ดที่ถูกอัปโหลดจริง ๆ ดังนั้นจึงไม่ทราบว่าผู้โจมตีวางแผนที่จะเรียกใช้โค้ดใด แต่ตามทฤษฎีแล้วโค้ดนี้สามารถทำอะไรได้เกือบทุกอย่าง รวมถึงการขโมยคีย์เข้ารหัส หรือการติดตั้งมัลแวร์เพิ่มเติมได้

ทำไม compression utility สามารถจัดการ process ที่มีความสำคัญอย่าง SSH ได้?

ปกติแล้วไลบรารีใด ๆ ก็ตาม สามารถยุ่งเกี่ยวกับการทำงานภายในของไฟล์ปฏิบัติการใด ๆ ที่เกี่ยวข้องกันได้ เนื่องจากบ่อยครั้งที่ผู้พัฒนาไฟล์ปฏิบัติการจะสร้างลิงก์ไปยังไลบรารีที่จำเป็นสำหรับการทำงานอย่างถูกต้อง ซึ่ง OpenSSH เป็น sshd ที่ได้รับความนิยมมากที่สุดไม่ได้เชื่อมโยงกับไลบรารี liblzma แต่ Debian และ Linux อื่น ๆ จำนวนมาก เพิ่มแพตช์เพื่อเชื่อมโยง sshd กับ systemd ซึ่งใช้ในการโหลด services ต่าง ๆ ระหว่างการบูทระบบ ในทางกลับกัน Systemd จะมีการลิงก์ไปยัง liblzma ดังนั้นจึงทำให้ xz Utils สามารถเข้าควบคุม sshd ได้

แบ็คดอร์เกิดขึ้นได้อย่างไร?

ดูเหมือนว่าแบ็คดอร์นี้ใช้เวลาหลายปีในการเตรียมการ ในปี 2021 ผู้ใช้ชื่อ JiaT75 ได้ทำการสร้างโค้ดในโครงการโอเพ่นซอร์สเป็นครั้งแรก โดยหากเมื่อตรวจสอบย้อนกลับไปโปรเจ็กต์ libarchive ของเค้าก็ถือว่าน่าสงสัย เนื่องจากมีการแทนที่ฟังก์ชัน safe_fprint ด้วยตัวแปรที่ถูกรายงานมานานแล้วว่ามีความปลอดภัยน้อยกว่า แต่ยังไม่มีใครสังเกตเห็นในเวลานั้น

ในปีต่อมา JiaT75 ส่งแพตซ์ใน xz Utils mailing list และพบว่ามีสมาชิกที่ไม่เคยเห็นมาก่อนชื่อ Jigar Kumar ระบุว่า Lasse Collin ผู้ดูแล xz Utils มายาวนานนั้น ไม่ได้ทำการอัปเดตซอฟต์แวร์บ่อยครั้ง หรือรวดเร็วพอ ทำให้ Kumar, Dennis Ens และคนอื่น ๆ อีกหลายคน(ที่ไม่เคยมีชื่ออยู่ในรายชื่อมาก่อน) ได้กดดันให้ Collin หานักพัฒนาเพิ่มเติมเพื่อมาดูแลโครงการนี้

ในเดือนมกราคม ปี 2023 JiaT75 เริ่มเกี่ยวข้องกับ xz Utils เป็นครั้งแรก หลายเดือนต่อมา JiaT75 ซึ่งใช้ชื่อ Jia Tan ได้เข้ามามีส่วนร่วมใน xz Utils มากขึ้น ตัวอย่างเช่น Tan ได้แทนที่ข้อมูลติดต่อของ Collins ด้วย oss-fuzz ซึ่งเป็นโปรเจ็กต์ที่จะสแกนซอฟต์แวร์โอเพ่นซอร์สเพื่อหาช่องโหว่ที่สามารถถูกโจมตีได้ โดย Tan ยังขอให้ oss-fuzz ปิดการใช้งานฟังก์ชัน ifunc ในระหว่างการทดสอบ ซึ่งเป็นการเปลี่ยนแปลงที่จะทำให้ไม่สามารถตรวจจับการเปลี่ยนแปลงที่เป็นอันตรายที่ Tan กำลังจะทำกับ xz Utils ในไม่ช้า

รายงานของบริษัทรักษาความปลอดภัย Tenable ระบุว่า ในเดือนกุมภาพันธ์ของปีนี้ Tan ได้ออก xz Utils เวอร์ชัน 5.6.0 และ 5.6.1 (ซึ่งถูกพบว่ามีการฝังแบ็คดอร์) และในสัปดาห์ต่อมา Tan และคนอื่น ๆ ได้แจ้งต่อนักพัฒนา Ubuntu, Red Hat และ Debian ให้รวมการอัปเดตของ xz Utils เข้ากับระบบปฏิบัติการของพวกเขา

ปัจจุบันเหตุการณ์ดังกล่าวของ xz Utils ได้รับหมายเลข CVE-2024-3094 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) โดยถือว่าเป็นช่องโหว่การ injection code ที่เป็นอันตราย ในไลบรารี xz เวอร์ชัน 5.6.0 และ 5.6.1

Tenable ได้ออกรายงานระบุ Linux ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว ได้แก่

Fedora Rawhide
Fedora 40 Beta
Fedora 41
Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.
openSUSE Tumbleweed and openSUSE MicroOS
Kali Linux
Arch Linux

Linux ที่ได้ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว ได้แก่

Fedora Linux 40
Red Hat Enterprise Linux (RHEL)
Debian
Amazon Linux
SUSE Linux Enterprise and Leap
Alpine Linux
Gentoo Linux
Ubuntu

แนะนำให้กลับไปใช้ XZ เวอร์ชัน 5.4.x ใน Fedora Beta

CISA, Kali Linux, openSUSE และ Arch Linux ได้ให้คำแนะนำนักพัฒนา และผู้ใช้ทำการดาวน์เกรดย้อนกลับเป็น XZ version ที่ไม่มีช่องโหว่ (เช่น 5.4.6 Stable) และให้ค้นหาพฤติกรรมที่เป็นอันตราย หรือน่าสงสัยในระบบของตน

ทั้งนี้ผู้ดูแลระบบสามารถตรวจสอบว่า XZ version ที่ติดตั้งอยู่ในระบบของตนเป็นเวอร์ชันใด โดยการเรียกใช้คำสั่ง

strings which xz` | egrep '\(XZ Utils\)

และ

strings `which xz` | grep '5\.6\.[01]'

เพื่อตรวจสอบเวอร์ชันว่าเป็นเวอร์ชันที่ได้รับผลกระทบหรือไม่ หรือใช้ shell script ที่ถูกเผยแพร่จาก Kostas นักวิจัยด้านความปลอดภัยทางไซเบอร์ ดังนี้

for xz_p in $(type -a xz | awk '{print $NF}' | uniq); do strings "$xz_p" | grep "xz (XZ Utils)" || echo "No match found for $xz_p"; done

shell script ดังกล่าว จะถูกใช้ผ่าน 'strings' command บนอินสแตนซ์ทั้งหมดของไฟล์ปฏิบัติการ xz และรายงานข้อมูลเวอร์ชันของ xz การใช้คำสั่งนี้ทำให้สามารถระบุเวอร์ชันของ xz ได้โดยไม่ต้องเรียกใช้โปรแกรมปฏิบัติการแบบ backdoor

ที่มา:  bleepingcomputer

นักวิจัยจาก Juniper Networks ค้นพบ Python Malware ที่มุ่งเป้าไปยังช่องโหว่บน VMware ESXi servers เพื่อใช้ในการติดตั้งแบ็คดอร์ ซึ่งจะทำให้ Hacker สามารถเข้าถึง หรือรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้

แต่จนถึงปัจจุบันนักวิจัยยังไม่สามารถระบุวิธีการที่แน่ชัดที่ถูกใช้ในการโจมตีได้ เนื่องจากข้อมูล log ที่หลงเหลือหลังจากการโจมตีมีจำกัด แต่คาดการว่าเซิร์ฟเวอร์อาจถูกโจมตีโดยใช้ช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ใน OpenSLP service ของ ESXi โดย Python Malware ยังสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Linux และ Unix

VMware ESXi คือ แพลตฟอร์ม Virtual Machine (VM) ที่ใช้ทั่วไปในองค์กรเพื่อสร้างเซิร์ฟเวอร์จำลอง (VM) จำนวนมากบนอุปกรณ์เครื่องเดียว โดยใช้ทรัพยากร CPU และหน่วยความจำได้อย่างมีประสิทธิภาพ

การโจมตี

จากข้อมูล log ที่หลงเหลือหลังจากการโจมตี พบว่า Python Malware ได้เพิ่มคำสั่ง 7 บรรทัดใน "/etc/rc.

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

ทีม NPM Security ลบแพ็คเกจ NPM ที่เป็นอันตราย 4 ชุดที่สามารถเปิด Reverse Shell บนระบบของผู้ใช้ได้

ทีม NPM Security ได้ลบแพ็คเกจ NPM จำนวน 4 ชุดออกจาก NPM Portal หลังจากตรวจพบว่ามีโค้ดที่เป็นอันตรายที่มีลักษณะของ reverse shell และสามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้ายได้

แพ็คเกจทั้ง 4 ที่ทางทีม NPM ทำการตรวจพบคือ plutov-slack-client, nodetest199, nodetest199 และ npmpubman โดยแพ็คเกจทั้ง 4 นี้ถูกดาวน์โหลดไปแล้วมากกว่า 1,000 ครั้งในช่วงสองสามเดือนที่ผ่านมา

แพ็คเกจจำนวน 3 แพ็คเกจคือ plutov-slack-client , nodetest1010 และ nodetest199 จะมีลักษณะโค้ดที่เหมือนกันและแพ็คเกจเหล่านี้สามารถทำงานได้ทั้งบน Windows และระบบที่ใช้ Unix ซึ่งหลังจากติดตั้งแพ็กเกจแล้วโค้ดจะสร้าง reverse shell กลับไปยังเซิร์ฟเวอร์ของผู้โจมตีUnixเพื่อให้ผู้ประสงค์ร้ายสามารถเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้ ทั้งนี้แพ็คเกจสุดท้ายในรายการคือ npmpubman มีโครงสร้างโค้ดและวัตถุประสงค์ที่แตกต่างกันมาก โดยแพ็คเกจจะทำการรวบรวมข้อมูลผู้ใช้จากสภาพแวดล้อมต่างๆ ภายในเครื่องและจะทำการอัปโหลดข้อมูลนี้ไปยังโฮสต์ของผู้ประสงค์ร้าย

ทีม NPM Security ได้ออกคำเเนะนำให้ผู้ใช้หรือผู้ดูแลระบบที่เคยทำการติดตั้งแพ็คเกจทั้ง 4 นี้ควรทำการลบแพ็คเกจออกเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการติดตั้งแพ็คเกจทำการโจมตีระบบ

ที่มา : bleepingcomputer

พบช่องโหว่ในหน่วยความจำของ IBM DB2 ที่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรืออาจทำให้ระบบเกิด DoS ได้

Martin Rakhmanov หัวหน้าทีมวิจัยด้านความปลอดภัยทางไซเบอร์ SpiderLabs จาก Trustwave ได้เปิดเผยถึงรายละเอียดเกี่ยวกับช่องโหว่ในหน่วยความจำของ IBM DB2 Relational Database ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรือทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS) ในฐานข้อมูล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-4414 ช่องโหว่เกิดจากการแชร์หน่วยความจำใน DB2 ด้วยการใช้ Trace facility ซึ่งทำให้ขาดการป้องกันที่ชัดเจน จึงทำให้ผู้โจมตีที่อยู่ภายในระบบสามารถทำการอ่านและเขียนในหน่วยความจำและยังสามารถดัมพ์เนื้อหาที่มี ซึ่งนอกจากนี้ผู้โจมตียังสามารถเขียนข้อมูลที่ไม่ถูกต้องบนพื้นที่หน่วยความจำของเป้าหมายเพื่อทำให้ฐานข้อมูลไม่สามารถเข้าถึงได้และทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS)

ช่องโหว่นี้ส่งผลกระทบกับ IBM DB2 สำหรับ Linux, UNIX และ Windows (9.7, 10.1, 10.5, 11.1, 11.5) ทั้งนี้ IBM เปิดตัวเเพตซ์การแก้ไขสำหรับช่องโหว่แล้วเมื่อวันที่ 30 มิถุนายนที่ผ่านมา ผู้ดูแลระบบควรทำการรีบอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่ดังกล่าวและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | trustwave

พบ Backdoor ใน Webmin ซึ่งเป็นแอปพลิเคชันสำหรับ system administrator ในการจัดการควบคุมระบบจากระยะไกลสำหรับเครื่องที่ใช้ระบบปฏิบัติการ Unix (Linux, FreeBSD หรือ OpenBSD servers) ที่ได้รับความนิยม

Backdoor ดังกล่าวอนุญาตให้ผู้โจมตีทำการรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ์ Root บนเครื่องที่ลง Webmin ซึ่งเมื่อยึดเครื่องที่ลง Webmin สำเร็จ ผู้โจมตีก็จะสามารถสั่งการไปยังเครื่องอื่นๆ ที่ใช้ Webmin จัดการได้อีกด้วย

แม้ว่า Webmin จะได้รับความนิยมก็ตาม แต่ backdoor ในโค้ดของ Webmin แฝงตัวอยู่ในซอร์สโค้ดของโปรเจคมานานกว่าหนึ่งปีก่อนที่นักวิจัยความปลอดภัยชาวตุรกี Özkan Mustafa Akkuş จะพบสิ่งที่เขาคิดว่าเป็นช่องโหว่บนซอร์สโค้ด Webmin ช่องโหว่นี้ยอมให้ Attackers ที่ไม่ได้ตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดบนเซิฟเวอร์ที่รันแอป Webmin ได้ และนำเสนอในงาน DEF CON 27 ที่ผ่านมา

แต่จากการตรวจสอบเพิ่มเติม หนึ่งในนักพัฒนาระบบ Webmin บอกว่าช่องโหว่ไม่ได้เกิดจากการเขียนโค้ดที่ผิดพลาด แต่โค้ดอันตรายนี้ถูกแทรกมาระหว่างการ build โค้ดเป็น package

ซึ่ง Backdoor นี้พบเฉพาะใน Webmin ที่เผยแพร่บน SourceForge ไม่พบใน GitHub ซึ่งทีมงาน Webmin ไม่ได้ระบุว่าการแทรกโค้ดอันตรายเกิดจากการที่เครื่องของนักพัฒนาถูกแฮก หรือบัญชี SourceForge ถูกแฮกแล้วแฮกเกอร์อัปโหลด Webmin ที่เป็นอันตรายเข้าไปแทน

ตามการวิเคราะห์ทางเทคนิคเบื้องต้นของ Akkuş ช่องโหว่นี้อยู่บนฟีเจอร์ Password expiration สำหรับบัญชีบนเว็บที่ใช้ Webmin ซึ่งถ้าเปิดใช้ฟีเจอร์ Password expiration ผู้โจมตีสามารถส่ง HTTP request ที่มี "|" ตามด้วย shell command และรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ Root

Webmin รุ่นที่ได้รับผลกระทบคือรุ่น 1.882 ถึง 1.921 ที่ถูกดาวน์โหลดจาก SourceForge

ข่าวดีคือใน Webmin ก่อนรุ่น 1.890 ไม่ได้เปิดฟีเจอร์ Password expiration เป็นค่าตั้งต้น แต่เพื่อความปลอดภัย ทีมงาน Webmin มีข้อแนะนำว่า

วิธีแรกเป็นแนะนำอย่างยิ่งว่าควรอัปเกรดเป็นเวอร์ชัน 1.930 ที่ลบโค้ดอันตรายออกไปแล้ว

อีกวิธีหนึ่งคือ ถ้ามีการทำงานบนเวอร์ชั่น 1.900 ถึง 1.920 ควรแก้ไข /etc/webmin/miniserv.

Qualys แสดงความสามารถอีกครั้งด้วยการเปิดเผยช่องโหว่ที่ชือว่า "Stack Clash" ทำให้ user สามารถใช้ช่องโหว่ดังกล่าวเพิ่มสิทธิ์ของตัวเองให้กลายเป็นสิทธิ์สูงสุดหรือ root ได้

Qualys พบช่องโหว่ "Stack Clash" ซึ่งทำให้ได้สิทธิ์ root ใน UNIX System ได้ ทาง Qualys พบช่องโหว่นี้ตั้งแต่เมื่อเดือนที่แล้ว (06/2017) และได้แจ้งให้เหล่า vendor ต่างๆไปก่อนแล้ว เพื่อให้ทาง vendor เหล่านั้นออกมา patch แก้ไขได้ทัน

ช่องโหว่นี้กระทบทั้ง Linux, OpenBSD, NetBSD, FreeBSD, และ Solaris.