Nieuw onderzoek heeft Docker -afbeeldingen op Docker Hub ontdekt die de beruchte XZ Utils -achterdeur bevatten, meer dan een jaar na de ontdekking van het incident.
Meer verontrustend is het feit dat andere afbeeldingen bovenop deze geïnfecteerde basisbeelden zijn gebouwd, waardoor de infectie effectief op een transitieve manier wordt voortplanting, zei binarly onderzoek in een rapport dat wordt gedeeld met het Hacker News.
Het firmwarebeveiligingsbedrijf zei dat het in totaal 35 afbeeldingen ontdekte die met de achterdeur worden verzonden. Het incident benadrukt opnieuw de risico’s waarmee de software -supply chain wordt geconfronteerd.
Het XZ Utils Supply Chain Event (CVE-2024-3094, CVSS-score: 10.0) kwam eind maart 2024 aan het licht, toen Andres Freund het alarm klonk op een achterdeur ingebed binnen XZ Utils-versies 5.6.0 en 5.6.1.
Verdere analyse van de kwaadaardige code en het bredere compromis leidde tot verschillende verrassende ontdekkingen, de eerste en vooral dat de achterdeur kon leiden tot ongeautoriseerde externe toegang en de uitvoering van willekeurige payloads via SSH mogelijk maken.
In het bijzonder is de achterdeur – geplaatst in de liblzma.so bibliotheek en gebruikt door de OpenSSH -server – zodanig ontworpen dat deze werd geactiveerd wanneer een client interactie heeft met de geïnfecteerde SSH -server.
Door de functie RSA_PUBLIC_DECRYPT te kapen met behulp van het IFUNC -mechanisme van GLIBC, stond de kwaadwillende code een aanvaller toe die een specifieke privésleutel had om verificatie te bypass en rootopdrachten op afstand uit te voeren, “legde Binarly uit.
De tweede bevinding was dat de wijzigingen werden gepusht door een ontwikkelaar genaamd “Jia Tan” (Jiat75), die bijna twee jaar bijdroeg aan het open-source-project om vertrouwen op te bouwen totdat ze de verantwoordelijkheden van de onderhoudsbehandeling kregen, wat de nauwgezette aard van de aanval aangeeft.
“Dit is duidelijk een zeer complexe door de staat gesponsorde operatie met indrukwekkende verfijning en meerjarige planning,” merkte Binary destijds op. “Een dergelijk complex en professioneel ontworpen uitgebreid implantatiekader is niet ontwikkeld voor een one-shot operatie.”
Het laatste onderzoek van het bedrijf toont aan dat de impact van het incident naschokken blijft sturen via het open-source ecosysteem, zelfs na al die maanden.
Dit omvat de ontdekking van 12 Debian Docker-afbeeldingen die een van de XZ Utils Backdoor bevatten, en een andere set tweede-orde afbeeldingen met de gecompromitteerde Debian-afbeeldingen.
Binarly zei dat het de basisbeelden meldde aan de Debian -onderhouders, die zeiden dat ze “een opzettelijke keuze hebben gemaakt om deze artefacten beschikbaar te laten als een historische nieuwsgierigheid, vooral gezien de volgende uiterst onwaarschijnlijke (in containers/containerafbeeldingsgebruik Cases) factoren die nodig zijn voor exploitatie.”
Het bedrijf wees er echter op dat het achterlaten van openbaar beschikbare Docker-afbeeldingen die een potentieel netwerk-verwezen-backdoor bevatten een aanzienlijk beveiligingsrisico met zich meebrengt, ondanks de criteria die nodig zijn voor succesvolle exploitatie-de behoefte aan netwerktoegang tot het geïnfecteerde apparaat met de SSH-service.
“Het XZ-Utils Backdoor Incident toont aan dat zelfs kortstondige kwaadaardige code lange tijd onopgemerkt kan blijven in officiële containerafbeeldingen, en dat kan zich verspreiden in het Docker-ecosysteem,” voegde het eraan toe.
“De vertraging onderstreept hoe deze artefacten zwijgend kunnen volharden en zich voortplanten via CI-pijpleidingen en containerecosystemen, waardoor de kritische behoefte aan continue monitoring op binaire niveaus verder gaat dan eenvoudige versievolling.”
