Բիզնես

USD BUY - 388.00-0.50 USD SELL - 391.00-0.50
EUR BUY - 440.00-4.00 EUR SELL - 448.00-7.00
OIL:  BRENT - 67.98+2.09 WTI - 64.20+0.74
COMEX:  GOLD - 3348.90-4.23 SILVER - 32.70-0.30
COMEX:  PLATINUM - 962.60-1.36
LME:  ALUMINIUM - 2365.50+0.00 COPPER - 9188.50+0.00
LME:  NICKEL - 15622.00+0.00 TIN - 30643.00+0.00
LME:  LEAD - 1922.00+0.00 ZINC - 2577.00+0.00
FOREX:  USD/JPY - 142.21+1.51 EUR/GBP - 1.1371-1.42
FOREX:  EUR/USD - 1.1371-1.42 GBP/USD - 1.3286-0.90
STOCKS RUS:  RTSI - 1144.79+0.00
STOCKS US: DOW JONES - 39186.98+2.66 NASDAQ - 16300.42+2.71
STOCKS US: S&P 500 - 5287.76+2.51
STOCKS JAPAN:  NIKKEI - 34220.60-0.17 TOPIX - 2532.12+0.13
STOCKS CHINA:  HANG SENG - 21562.32+0.78 SSEC - 3299.76+0.25
STOCKS EUR:  FTSE100 - 8328.60+0.64 CAC40 - 7326.47+0.56
STOCKS EUR:  DAX - 21293.53+0.41
22/04/2025  CBA:  USD - 390.13-0.38 GBP - 521.41-1.44
22/04/2025  CBA:  EURO - 448.06-1.92
22/04/2025  CBA:  GOLD - 41463.00-40.00 SILVER - 405.26-0.40
Կասպերսկի. Ինչով է վտանգավոր վնասաբեր կոդը Linux-ի դիստրիբուտիվներում
09/04/2024 11:28
Կիսվել

Կասպերսկի. Ինչով է վտանգավոր վնասաբեր կոդը Linux-ի դիստրիբուտիվներում

Անհայտ չարագործները վնասաբեր կոդ են ներկառուցել Linux-ի որոշ դիստրիբուտիվներում՝ սեղմման համար նախատեսված, բաց սկզբնական կոդով XZ Utils ուտիլիտների 5.6.0 և 5.6.1 տարբերակների մեջ։ Ինչպես հաղորդում է «Կասպերսկի» ընկերությունը, բեքդորով ուտիլիտները հասցրել են հայտնվել Linux-ի մարտյան մի քանի հայտնի տարբերակներում, և դա կարելի է գնահատել որպես գրոհ մատակարարման շղթայի վրա: Խոցելիությանը շնորհվել է CVE-2024-3094 համարը։

Ընկերության փորձագետները պարզաբանում են, որ ի սկզբանե տարբեր հետազոտողներ պնդում էին, որ բեքդորը թույլ է տալիս չարագործներին շրջանցել sshd-ի՝ OpenSSH սերվերային գործընթացի նույնականացումը և հեռավար կերպով չարտոնված հասանելիություն ստանալ օպերացիոն համակարգին։ Այնուամենայնիվ, դատելով վերջին տեղեկատվությունից, այս խոցելիությունը պետք է վերագրվի ոչ թե «նույնականացման շրջանցում», այլ «կոդի հեռավար կատարում» (RCE) դասին: Բեքդորը միջամտում է RSA_public_decrypt գործառույթին, ստուգում է հոսթի ստորագրությունն՝ օգտագործելով Ed448 ֆիքսված բանալին, և հաջող ստուգման դեպքում system() գործառույթի միջոցով կատարում է հոսթի փոխանցած վնասաբեր կոդը՝ առանց sshd լոգերում հետքեր թողնելու:

Հստակ հայտնի է, որ XZ Utils-ի 5.6.0 և 5.6.1 տարբերակները հայտնվել են Linux-ի հետևյալ դիստրիբուտիվների մարտյան տարբերակներում.

  • Kali Linux, բայց պաշտոնական բլոգի տեղեկատվության համաձայն, միայն մարտի 26-ից 29-ը հասանելի տարբերակներում (բլոգը պարունակում է նաև հրահանգներ, թե ինչպես ստուգել ուտիլիտների խոցելի տարբերակի առկայությունը);
  • openSUSE Tumbleweed և openSUSE MicroOS, որոնք հասանելի են եղել մարտի 7-ից 28-ը;
  • Fedora 41, Fedora Rawhide և Fedora Linux 40 beta;
  • Debian (թեստային, ոչ կայուն և փորձարարական տարբերակներ);
  • Arch Linux՝ կոնտեյներների image-ներ, որոնք հասանելի են եղել փետրվարի 29-ից մարտի 29-ը: Ի դեպ, org կայքում ասվում է, որ իրականացման առանձնահատկությունների պատճառով գրոհի այս վեկտորը Arch Linux-ում չի աշխատի, սակայն, այնուամենայնիվ, թախանձագին խորհուրդ է տրվում թարմացնել համակարգը։

Ըստ պաշտոնական տեղեկատվության՝ անխոցելի են Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap, Debian Stable տարբերակները։ Իմաստ ունի ինքնուրույն ստուգել մնացած դիստրիբուտիվներում XZ Utils-ի տրոյանացված տարբերակների առկայությունը:

Փորձագետները ենթադրում են, որ վնասաբեր կոդը ուտիլիտների մեջ է հայտնվել հետևյալ կերպ։ Ըստ երևույթին, տեղի է ունեցել GitHub-ի ռեպոզիտորիայի նկատմամբ վերահսկողության փոխանցման ստանդարտ պատմություն: Այն անձը, ով ի սկզբանե աջակցում էր XZ Libs նախագծին, վերահսկողությունը փոխանցել է այն օգտահաշվին, որն արդեն մի քանի տարի է, ինչ աջակցում էր տվյալների սեղմման հետ կապված մի շարք ռեպոզիտորիաների։ Նա էլ ինչ-որ պահի նախագծի կոդ բեքդոր է ավելացրել։

ԱՄՆ-ի կիբեռանվտանգության և ենթակառուցվածքի պաշտպանության գործակալությունը մարտին նշված օպերացիոն համակարգերը թարմացնողներին խորհուրդ է տալիս անհապաղ անցնել XZ Utils-ի ավելի վաղ տարբերակի օգտագործմանը (օրինակ ՝ 5.4.6 տարբերակի), ինչպես նաև զբաղվել վնասաբեր ակտիվության որոնմամբ։

Եթե տեղադրվել է խոցելի տարբերակով դիստրիբուտիվ, ապա իմաստ ունի փոխել հաշվառման տվյալները, որոնք հնարավոր է, որ չարագործները կարողացել են կորզել համակարգից:

Խոցելիության առկայության փաստը կարելի է բացահայտել CVE-2024-3094-ի համար Yara կանոնի օգնությամբ։

Ընկերության ենթակառուցվածքին չարագործների կողմից հասանելիություն ստանալու կասկածի առկայության դեպքում խորհուրդ է տրվում օգտվել կոտրանքի նշանների հայտնաբերման Kaspersky Compromise Assessment ծառայությունից:

22/04/2025
դրամ
Դոլար (USD)
390.13
-0.38
Եվրո (EUR)
448.06
-1.92
Ռուբլի (RUR)
4.80
-0.01
Լարի (GEL)
141.94
-0.25
41463.00
-40.00
Արծաթ
405.26
-0.40