La découverte d'une backdoor SSH après une mise à jour

Un développeur et ingénieur travaillant sur les offres PostgreSQL de Microsoft, résolvait récemment des problèmes de performances rencontrés par un système Debian avec SSH, le protocole le plus largement utilisé pour se connecter à distance à des appareils via Internet. Plus précisément, les connexions SSH consommaient trop de cycles CPU et généraient des erreurs avec valgrind , un utilitaire de surveillance de la mémoire de l'ordinateur.

Attendez, comment un utilitaire de compression peut-il manipuler un processus aussi sensible en matière de sécurité que SSH ?

N'importe quelle bibliothèque peut altérer le fonctionnement interne de tout exécutable auquel elle est liée. Souvent, le développeur de l'exécutable établira un lien vers une bibliothèque nécessaire à son bon fonctionnement. OpenSSH, l'implémentation sshd la plus populaire, ne relie pas la bibliothèque liblzma, mais Debian et de nombreuses autres distributions Linux ajoutent un correctif pour lier sshd à systemd , un programme qui charge une variété de services lors du démarrage du système. Systemd, à son tour, est lié à liblzma, ce qui permet à xz Utils d'exercer un contrôle sur sshd.

 

il s'agit du CVE-2024-3094. 

 

POC en lien https://github.com/amlweems/xzbot

 

Retour au blog