Blog de Jesus Forain Blog de Jesus Forain
Blog personnel de Jesus Forain où les principaux sujets sont l'informatique, la technologie, le spatial mais aussi divers sujets.
Rechercher & filtrer
Filtrer par année / mois
Derniers commentaires
Starship flight 6 prévu ce mardi 19 novembre 23h00
avatar de Jesus Forain
Jesus Forain
mercredi 20 novembre 2024 18:02

Les images des équipes de NASA Spaceflight   ▶  

Starship flight 6 prévu ce mardi 19 novembre 23h00
avatar de Jesus Forain
Jesus Forain
mercredi 20 novembre 2024 00:24

Le rattrapage du booster, décidé manuellement après étude des données de vol, a été annulé car les conditions n'étaient pas correctes. Il a atterri dans l'océan au large de Boca Chica. Le test de rallumage d'un raptor atmosph&eacu[...]

Starship flight 6 prévu ce mardi 19 novembre 23h00
avatar de Jesus Forain
Jesus Forain
mardi 19 novembre 2024 22:37

Charge utile du Starship: une banane ! Il n'y a pas de rapport avec la ministre Suédoise qui a la phobie des bananes, l'autocollant “banana for scale” apposé sur le Starship était là bien avant que ne sorte cette histoire.  

Demander une adresse IP full stack chez Free pour avoir tous les ports
avatar de Jesus Forain
Jesus Forain
jeudi 14 novembre 2024 21:34

Normalement il ne devrait pas avoir besoin d'une IP full stack pour la caméra, ces caméras sont faites pour fonctionner avec n'importe quelle box. Le message "impossible de se connecter" apparaît-il uniquement quand le tel utilise la connexion mobile et qu'il n'est pas connect&ea[...]

Demander une adresse IP full stack chez Free pour avoir tous les ports
Cori1402 (non inscrit)
jeudi 14 novembre 2024 19:31

Bonjour, J'ai besoin d'aide Je possède des caméras dans mon logement que je peux visualiser sur mon tél mais la plupart du temps, je vois le message "impossible de se connecter". L'ancien proprio qui a fait l'installation me dit que cela vient du problème d'IP de Free et [...]

Demander une adresse IP full stack chez Free pour avoir tous les ports
avatar de Jesus Forain
Jesus Forain
mardi 12 novembre 2024 23:53

J'ai fait des tests en IPv4 et IPv6 avec nperf, les débits sont ceux attendus et je ne trouve pas de différence de débit entre les 2 protocoles. J'ai une Freebox Revolution avec boîtier ONU externe. Pour ton test de débit, tu es bien connecté en Ethernet &agr[...]

Demander une adresse IP full stack chez Free pour avoir tous les ports
fred (non inscrit)
lundi 11 novembre 2024 19:45

Bonjour, Je vous partage mon aventure avec free et la fameuse adresse ip full stack pour une autre raison que l'hébergement web. J'ai été contraint la mort dans l'âme d'abandonner mes journées de travails contraignantes devant la machine a café pour du t&eacu[...]

Free: le reverse DNS est de nouveau opérationnel
avatar de Jesus Forain
Jesus Forain
mercredi 6 novembre 2024 23:15

Tu es sur qu'il n'y a pas de caractères parasites dans le champ de saisie? Il faut saisir le nom de domaine seulement, par exemple “jesus-forain.fr” Ça peut aussi être un bug du formulaire, essaye aussi avec un autre navigateur

Free: le reverse DNS est de nouveau opérationnel
kossak (non inscrit)
mercredi 6 novembre 2024 22:21

Bonsoir, merci pour ce post très utile. Je n'arrive pas de mon côté à activer le reverse DNS car il me dit en l'espèce : "Reverse invalide: il doit faire au maximum 63 caractères et ne peux contenir que des caractères alphanumériques (a-z A-Z 0-[...]

Demander une adresse IP full stack chez Free pour avoir tous les ports
__invité__
samedi 2 novembre 2024 18:25

Oui, je comprends bien que ce genre de situation ne fait pas toujours partie de leurs procédures standards.  Comme tu le dis, ce sont surtout des techniciens de premier niveau, mais ils ont quand même transféré mon appel à des techniciens ainsi qu'à leur[...]

Découverte d'une backdoor dans SSH

- 720 vues

Ce vendredi 29 mars 2024, une backdoor a été découverte dans SSH mais peu de machines devraient être touchés puisque cette version de SSH contenant une faille de sécurité aurait été seulement déployée sur des versions de test et rolling release de distributions Linux. La backdoor n'est pas située dans le code de SSH mais dissimulée dans une bibliothèque utilisée par SSH.

Le détail de cette backdoor est expliqué sur GitHub. On devrait en apprendre davantage au fur et à mesure de l'analyse du code en cours, pour ça va surveille la discussion sur GitHub.
En attendant, mets immédiatement à jour ton Linux et vérifie que la vulnérabilité a été corrigée en allant sur le site de ta distribution (rubriques blog, forum, news, communauté, …).

Une backdoor ou porte dérobée en français est une faille de sécurité introduite volontairement, ici l'équivalent d'un passage secret, dans un programme afin d'avoir secrètement accès à une machine via une série d'actions spécifiques. SSH est un programme permettant d'exécuter à distance des commandes sur une machine Linux ou Apple et même Windows (SSH n'est pas installé par défaut sur Windows).
SSH est utilisé pour administrer les serveur à distance mais est aussi présent dans bon nombre de matériels tels que des routeurs et objets connectés. Maintenant si cette backdoor avait été massivement déployée je te laisse imaginer les dégâts que ça aurait fait! L'attaquant aurait pu prendre le contrôle de n'importe quel serveur, en récupérer les données ou le corrompre, distribuer massivement des malwares et Internet serait potentiellement devenu inutilisable; là c'est le scénario de la pire situation possible.

 

Dissimulation de la backdoor

La backdoor a été découverte dans xz-utils, un programme de compression de données utilisé par d'autres logiciels. Le code malicieux n'est pas présent dans le code source disponible sur GitHub mais caché dans une archive de tests. Mettre du code dans une archive est courant mais là le but était de dissimuler la partie du code malveillant.
Le code malicieux est décompressé et intégré au moment de la compilation et des fonctions d'OpenSSH sont redirigées vers les fonctions malveillantes grâce IFUNC (indirect function), un outil de la glibc utilisé pour créer de multiples implémentations d'une fonction et choisir laquelle exécuter à l'exécution du programme.

Les conditions pour activer la backdoor sont d'utiliser une architecture x86 (CPU Intel ou AMD) et une distribution Linux basée sur Debian ou Red Hat y compris leurs dérivés comme Ubuntu ou Rocky Linux.

Pour l'instant ce sont les seules informations que l'on a sur cette backdoor, d'autres devraient suivre selon l'avancée de l'analyse du code.

D'autres projets pourraient être affectés comme libarchive et quand son code malveillant a provoqué des erreurs dans Valgrind, un débugger très utilisé sous Linux, le créateur n'a pas hésité à dire que c'était un bug de Valgrind et a même réussi à faire incorporer du code masquant ces erreurs dans le projet Valgrind.

 

Activation de la “charge utile” (le code malveillant de la backdoor)

La charge utile (payload en anglais) est activée si l'exécutable a pour chemin /usr/sbin/sshd c'est à dire le chemin du serveur SSH. Si le chemin est différent, la backdoor ne devrait pas s'activer.

La fonction RSA_public_decrypt de sshd est remplacée par la version de l'attaquant. En soumettant une clé particulière, cela permet d'envoyer des données à la fonction system() permettant ainsi d'exécuter des commandes fournies par l'attaquant sur le serveur.

 

Qui a fait ça?

Le dépôt xz-utils est seulement maintenu par 2 développeurs: Lasse Collin (Larhzu), le créateur depuis 2009 et Jia Tan (JiaT75) qui a contribué au projet depuis 2 ans et a obtenu les droits de modifications du dépôt depuis 1 an et demi. C'est ce dernier développeur, JiaT75, qui est le créateur de cette backdoor et qui a été supprimé du projet le dimanche 31 mars par Lasse Collin.

Pour l'instant on ne sait pas qui est derrière ça, ça peut aller du petit "hacker du dimanche" à un état en passant par une organisation criminelle. Le nom suggère que c'est un chinois mais ça n'est pas une preuve de la provenance de ce malware même si en ce moment la Chine est au cœur de tensions internationales.

Cette attaque a quand-même été longuement préparée vu que le développeur JiaT75 contribuait au projet depuis 2 ans.

partager sur Facebook
COMMENTAIRES
Envoyer un commentaire
chargement de l'éditeur en cours...
Envoi d'images pour les insérer dans le message
Cliquez sur le bouton "insérer l'image" pour l'ajouter à votre message, le fond de l'image passe en vert indiquant qu'elle est ajoutée. Les images non insérés sont supprimées.

Envoi de fichiers pour les télécharger

Attention! vous n'êtes pas connecté, vous postez en mode invité.