xz 5.6.0 ve 5.6.1 deki o supply chain olayı bayağı ilginçti. Normalde kimse fark etmezdi çünkü derleme sırasında liblzma içine gizlice bir şey enjekte ediliyordu. Saldırganlar sshd üzerinden kimlik doğrulamasını atlatacak şekilde modifiye etmişler, ama bu sadece belirli şartlar altında tetikleniyordu.
Asıl tehlike, update mekanizması üzerinden yayılmasıydı. Birçok distro hâlâ eski paketlerle geliyor, o yüzden sistem yöneticileri genelde "zaten güncelledim" diye düşünüyor. Gerçekte ise derleme ortamında kullanılan if conditions ve bazı environment variable'lar sayesinde payload sadece hedef sistemde aktif hale geliyordu.
Bazı araştırmacılar, bu arka kapının tespitini kolaylaştırmak için basit bir LD_PRELOAD kontrolü öneriyor. Ama daha derin bakınca, payload'ın sadece belirli ssh bağlantı tiplerinde çalıştığını görüyoruz. Bu da klasik "her zaman tetiklenir" tipi bir backdoor değil.
Kısaca, bu tarz saldırılarda en kritik nokta build pipeline'ını izlemek. Tek bir satır kod değişikliğiyle tüm dağıtım etkilenebiliyor.
Asıl tehlike, update mekanizması üzerinden yayılmasıydı. Birçok distro hâlâ eski paketlerle geliyor, o yüzden sistem yöneticileri genelde "zaten güncelledim" diye düşünüyor. Gerçekte ise derleme ortamında kullanılan if conditions ve bazı environment variable'lar sayesinde payload sadece hedef sistemde aktif hale geliyordu.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Kısaca, bu tarz saldırılarda en kritik nokta build pipeline'ını izlemek. Tek bir satır kod değişikliğiyle tüm dağıtım etkilenebiliyor.
Bu içeriği görmek için giriş yapın.