Le script shell de l’attaque XZ

Le script shell de l’attaque xz

• Andres Freund a révélé l’existence de l’attaque xz le 29 mars 2024.
• L’attaque se divise en deux parties : un script shell et un fichier objet.
• Le script shell ajoute le fichier objet à la compilation pendant le processus make.
• Le fichier objet malveillant et le code shell sont ajoutés sous forme compressée et chiffrée, déguisés en « entrées de test ».

Configuration

• xz-utils utilise GNU autoconf pour déterminer la méthode de compilation adaptée au système.
• L’attaquant a ajouté à la distribution tarball une bibliothèque de support inattendue.
• Cette bibliothèque de support contient du code malveillant.

Revoir la configuration

• La bibliothèque de support ajoutée par l’attaquant recherche certains motifs et configure le fichier concerné.
• Ce script repère les fichiers malveillants et les exécute afin d’injecter du code shell.

Exécution du script shell

• Le script shell malveillant ne s’exécute que dans les environnements requis, après plusieurs étapes de vérification.
• Le script ajoute plusieurs lignes au Makefile afin d’insérer du code malveillant dans le processus de compilation.

L’avis de GN⁺

• Cette attaque met en lumière les failles de sécurité des logiciels open source, et les développeurs doivent prendre conscience de l’importance des revues de code et des audits de sécurité.
• Cette méthode d’attaque est un exemple d’attaque de la chaîne d’approvisionnement logicielle, et des mesures sont nécessaires pour empêcher ce type d’attaque.
• Cet article peut sensibiliser les développeurs en montrant comment des attaques exploitent la complexité des scripts shell et des systèmes de build.
• D’un point de vue critique, ce type d’attaque peut soulever des questions sur la fiabilité des projets open source.
• En s’appuyant sur des connaissances du domaine, cet article souligne l’importance des vérifications de sécurité dans les processus de développement et de distribution logicielle.