Alert: CVE-2024-3094 backdoor in xz Library

[tstimper]

2024-04-02 11:42 Uhr

Der Lancom Support hat mir soeben geschrieben,
das die xz Sicherheitslücke intern n der Evaluierung ist und das sie sich melden,
sobald Ergebnisse vorliegen.

Ubrigens, jeder der die MSYS2 Umgebung benutzt, ist auch betroffen
https://packages.msys2.org/search?t=pkg&q=xz

Cygwin ist nicht betroffen

https://cygwin.com/packages/summary/xz.html


Viele Grüße

ts

Edit: 2024-04-03 17:35 Cygwin Link korrigiert, vielen Dank Hagen2000

[tstimper]

2024-03-02 12:50 Uhr

Das Lancom Security Team hat geschrieben das sie seit Freitag das Problem auf dem Schirm haben.
Bis jetzt gibt sind alle Ergebnisse negativ, also keine betroffenen Produkte.

Viele Grüße

ts

[tstimper]

Upddate 2024-04-03ts 11:32 Uhr

Noch keine offizielle Meldung vom LANCOM.

Etwas OffTopic, aber das Thema ist zu brisant:

Anbei eine kleine Anleitung, wie man alle PC's, Mac's und einige Linuxe nach den xz-tools durchsuchen kann.

zx-tool-discovery-in three-steps.pdf

Funktioniert problemlos mit ner Trial Version.

Die Suchfilter Angaben in der Anleitung könnt ich auch in Euren Lieblingstools nutzen.

Viele Grüße

ts

[Hagen2000]

In deinem Beitrag von gestern, 11:46 Uhr ist irgendwie zweimal der gleiche Link angegeben.

[tstimper]

In deinem Beitrag von gestern, 11:46 Uhr ist irgendwie zweimal der gleiche Link angegeben.

Habs korrigiert, vielen Dank für den Hinweis

Der Lancom Support hat mir geschrieben, das keine Lancom Produkte betroffen sind.
Eine offizielle Meldung kommt noch.

Viele Grüße

ts

[tstimper]

Update 2024-04-04ts 17:15 Uhr

Lancom veröffentlicht einen Sicherheitshinweis

https://www.lancom-systems.de/service-s ... tshinweise

Code: Alles auswählen

Informationen zur „Backdoor in den XZ Utils (CVE-2024-3094)“

April 4, 2024

Am 29.03.2024 wurden Informationen zu einer Backdoor in den XZ Utils veröffentlicht (CVE-2024-3094), durch die Angreifer eigenen Code ausführen können (Remote Code Execution).

LANCOM Hard- und Software-Produkte sind von dieser Sicherheitslücke nicht betroffen.

Der ePaper-Server befindet sich noch in der Evaluierung. Wir werden diese Meldung entsprechend aktualisieren, wenn das Ergebnis vorliegt.

Viele Grüße

ts

[plumpsack]

Benutzen die SFP-Module von Lancom nicht auch Linux/SSH ?

[tstimper]

Benutzen die SFP-Module von Lancom nicht auch Linux/SSH ?

Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.

WWAN und VDSL Modem haben wohl embedded Linuxe.

Wir müssen also wohl nachfragen, ob die jeweiligen Module auch beachtet wurden

Viele Grüße

ts

[rotwang]

Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.

AON-Module sind auch nur dumme Transceiver, nur mit Wellenlängen-Multiplex. GPON - theoretisch ja, aber sehr unwahrscheinlich. Ich habe eben mal ein GPON-Modul gesteckt und da meldet sich als SSH-Gegenstelle ein Dropbear. Also keine OpenSSH/Systemd-Kombi, auf die die Attacke abzielte.

[tstimper]

Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.

AON-Module sind auch nur dumme Transceiver, nur mit Wellenlängen-Multiplex. GPON - theoretisch ja, aber sehr unwahrscheinlich. Ich habe eben mal ein GPON-Modul gesteckt und da meldet sich als SSH-Gegenstelle ein Dropbear. Also keine OpenSSH/Systemd-Kombi, auf die die Attacke abzielte.

Hi Rotwang,

Interessant, vielen Dank für die Rückmeldung. Kannst Du sehen, welche Version von den xz libraries dort laufen?

Wir wissen ja immernoch nicht, was man da noch alles machen könnte.
Mehr Klarheit bringt erst der Review des xz Codes über die letzen Jahre.
Wer weis, das sich da noch alles versteckt und ob das zu möglichen Angriffvectoren führen könnte.

Wir haben grad einige Scans im PC Bereich gemacht. Da finden wir die die liblzma-5.dll in Version 5.4.5 in Gimp2 und in Version 5.2.5 im McAfee Agenten.

Man musst das auch zeitlich einordnen. Klar da gibt es kein SSH, aber letzendlich könnte jede Interaktion mit der Library was auslösen

Das ist schwierig, da die Grenze zu ziehen, wo man aufhört zu graben .....
Je tiefer man kommt, dsto theoretischer ist es Stans heute ...

Also die WWAN Module und die VDSL Module würden mich da auch brennend interessieren...

Kannst Du dazu was sagen?

Viele Grüße

ts

[rotwang]

Interessant, vielen Dank für die Rückmeldung. Kannst Du sehen, welche Version von den xz libraries dort laufen?

Ich habe mich gerade mal unter /lib und /usr/lib umgesehen und da ist keine liblzma. Das ganze ist ein sehr minimalistisches System, wie solche OpenWRT-basierten Systeme mit Uboot meist aussehen.

Wir wissen ja immernoch nicht, was man da noch alles machen könnte.
Mehr Klarheit bringt erst der Review des xz Codes über die letzen Jahre.
Wer weis, das sich da noch alles versteckt und ob das zu möglichen Angriffvectoren führen könnte.

Ich wüsste nicht, dass irgend jemand bisher sich bereit erklärt hätte, so ein Review zu machen? Das wird im Zweifelsfall darauf hinaus laufen, dass alle Commits von den fraglichen Autoren zurückgenommen werden. Ich glaube nicht, dass sich an der Stelle etwas grundlegendes ändern wird, so wie seinerzeit nach Heartbleed, außer jemand mit genug Resourcen übernimmt das Projekt oder zieht 'clean room' einen Ersatz hoch.

Also die WWAN Module und die VDSL Module würden mich da auch brennend interessieren...

Kannst Du dazu was sagen?

Leider nein, da bin ich nicht involviert.