XZ Utils backdoor docker image-ekben
A Binarly REsearch kutatásai szerint a Docker Hubon található számos Docker image tartalmazza a hírhedt XZ Utils backdoor-t, több mint egy évvel annak felfedezése után. Még aggasztóbb az a tény, hogy más image-ek is épültek ezekre a fertőzött base image-ekre, így a fertőzés tovább terjedt transzitiv módon – állítják a kutatók.
A firmware biztonsági vállalat szerint összesen 35 image-et fedeztek fel, amelyek tartalmazzák a backdoor-t. Az eset ismét rávilágít a szoftverellátási lánc kockázataira. Az XZ Utils (CVE-2024-3094, CVSS pontszám: 10,0) 2024. március végén került napvilágra, amikor Andres Freund riasztást adott ki az XZ Utils 5.6.0 és 5.6.1 verziókba beágyazott backdoor-ról. Röviden, a backdoor a liblzma.so könyvtárba volt beágyazva, amelyet az OpenSSH szerver használ, és akkor aktiválódik, amikor egy kliens kapcsolatba lép a fertőzött SSH szerverrel. A glibc IFUNC mechanizmusának felhasználásával eltérítve az RSA_public_decrypt funkciót, a rosszindulatú kód lehetővé tette egy adott privát kulccsal rendelkező támadónak, hogy megkerülje a hitelesítést és távolról root parancsokat hajtson végre.
