Blog de Jesus Forain Blog de Jesus Forain
Blog personnel de Jesus Forain où les principaux sujets sont l'informatique, la technologie, le spatial mais aussi divers sujets.
Site hébergé sur un Raspberry PI 4 avec une connexion ADSL infos ici
Rechercher & filtrer
Filtrer par année / mois
Derniers commentaires
Appairer un Freeplug avec un boîtier CPL d'une autre marque
__invité__
jeudi 4 avril 2024 15:53

Merci encore !Il semble donc que le wifi envoyé dans le réseau électrique par la Freeplug émettrice fonctionne bien vers la prise CPL du salon.Comme je vous l'ai écrit, il est émis sous le sigle Netgear et je ne sais pas le changer pour le mettre sous l'intitulé Free.Cordialement

Appairer un Freeplug avec un boîtier CPL d'une autre marque
avatar de Jesus Forain
Jesus Forain
mardi 26 mars 2024 19:44

J'ai regardé les spécifications du CPL Netgear XWNB5201 et c'est un CPL avec point d'accès WIFI. Le CPL des freeplugs est standard (norme AV200) et compatible avec les autres CPL du marché. Il faut appairer le CPL Netgear avec les freeplugs.Le plus simple est de brancher les 2 freeplugs et le CPL Ne[...]

Appairer un Freeplug avec un boîtier CPL d'une autre marque
__invité__
mardi 26 mars 2024 16:25

Bonjour et merci pour votre réponse !Pas facile d'expliquer clairement par écrit.Avant j'étais chez SFR et j'avais deux prises CPL 500 Netgear.Maintenant, je suis passé chez Free et du coup, ils m'ont posé deux Freeplugs. Par contre le Freeplug récepteur n'émet pas de Wifi contrairement à la CPL Net[...]

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 23:43

Le décollage du Starship vu sous plusieurs angles par les équipes de NASASpaceflight. On voit bien les ondes de choc au moment de l'allumage des moteurs. Dans les heures et jours qui suivent, on devrai voir diverses vidéos du Starship apparaître sur YouTube. Et je me demande si quelqu'un a réussi à [...]

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 15:31

Images de la rentrée atmosphérique, le Starship a été perdu durant cette phase. Ça aura encore été un vol incroyable avec toujours de gros progrès par rapport aux vols précédents.  

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 15:01

En attendant que le Starship revienne sur Terre, tu peux écouter ça pour patienter, mais trouveras-tu la référence?   ▶  

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 14:36

Magnifique! 

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 13:54

Le direct de SpaceX est commencé sur X → lienLes réservoirs sont en cours de remplissage.

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 13:26

GO pour le remplissage des réservoirs, décollage encore repoussé à 14h25.

Starship: décollage prévu le 14 mars (ou après)
avatar de Jesus Forain
Jesus Forain
jeudi 14 mars 2024 12:52

Décollage repoussé à 14h02 14h10, présence de bateaux dans la zone d'exclusion (lien).

Découverte d'une backdoor dans SSH

- 72 vues

Ce vendredi 29 mars 2024, une backdoor a été découverte dans SSH mais peu de machines devraient être touchés puisque cette version de SSH contenant une faille de sécurité aurait été seulement déployée sur des versions de test et rolling release de distributions Linux. La backdoor n'est pas située dans le code de SSH mais dissimulée dans une bibliothèque utilisée par SSH.

Le détail de cette backdoor est expliqué sur GitHub. On devrait en apprendre davantage au fur et à mesure de l'analyse du code en cours, pour ça va surveille la discussion sur GitHub.
En attendant, mets immédiatement à jour ton Linux et vérifie que la vulnérabilité a été corrigée en allant sur le site de ta distribution (rubriques blog, forum, news, communauté, …).

Une backdoor ou porte dérobée en français est une faille de sécurité introduite volontairement, ici l'équivalent d'un passage secret, dans un programme afin d'avoir secrètement accès à une machine via une série d'actions spécifiques. SSH est un programme permettant d'exécuter à distance des commandes sur une machine Linux ou Apple et même Windows (SSH n'est pas installé par défaut sur Windows).
SSH est utilisé pour administrer les serveur à distance mais est aussi présent dans bon nombre de matériels tels que des routeurs et objets connectés. Maintenant si cette backdoor avait été massivement déployée je te laisse imaginer les dégâts que ça aurait fait! L'attaquant aurait pu prendre le contrôle de n'importe quel serveur, en récupérer les données ou le corrompre, distribuer massivement des malwares et Internet serait potentiellement devenu inutilisable; là c'est le scénario de la pire situation possible.

 

Dissimulation de la backdoor

La backdoor a été découverte dans xz-utils, un programme de compression de données utilisé par d'autres logiciels. Le code malicieux n'est pas présent dans le code source disponible sur GitHub mais caché dans une archive de tests. Mettre du code dans une archive est courant mais là le but était de dissimuler la partie du code malveillant.
Le code malicieux est décompressé et intégré au moment de la compilation et des fonctions d'OpenSSH sont redirigées vers les fonctions malveillantes grâce IFUNC (indirect function), un outil de la glibc utilisé pour créer de multiples implémentations d'une fonction et choisir laquelle exécuter à l'exécution du programme.

Les conditions pour activer la backdoor sont d'utiliser une architecture x86 (CPU Intel ou AMD) et une distribution Linux basée sur Debian ou Red Hat y compris leurs dérivés comme Ubuntu ou Rocky Linux.

Pour l'instant ce sont les seules informations que l'on a sur cette backdoor, d'autres devraient suivre selon l'avancée de l'analyse du code.

D'autres projets pourraient être affectés comme libarchive et quand son code malveillant a provoqué des erreurs dans Valgrind, un débugger très utilisé sous Linux, le créateur n'a pas hésité à dire que c'était un bug de Valgrind et a même réussi à faire incorporer du code masquant ces erreurs dans le projet Valgrind.

 

Activation de la “charge utile” (le code malveillant de la backdoor)

La charge utile (payload en anglais) est activée si l'exécutable a pour chemin /usr/sbin/sshd c'est à dire le chemin du serveur SSH. Si le chemin est différent, la backdoor ne devrait pas s'activer.

La fonction RSA_public_decrypt de sshd est remplacée par la version de l'attaquant. En soumettant une clé particulière, cela permet d'envoyer des données à la fonction system() permettant ainsi d'exécuter des commandes fournies par l'attaquant sur le serveur.

 

Qui a fait ça?

Le dépôt xz-utils est seulement maintenu par 2 développeurs: Lasse Collin (Larhzu), le créateur depuis 2009 et Jia Tan (JiaT75) qui a contribué au projet depuis 2 ans et a obtenu les droits de modifications du dépôt depuis 1 an et demi. C'est ce dernier développeur, JiaT75, qui est le créateur de cette backdoor et qui a été supprimé du projet le dimanche 31 mars par Lasse Collin.

Pour l'instant on ne sait pas qui est derrière ça, ça peut aller du petit "hacker du dimanche" à un état en passant par une organisation criminelle. Le nom suggère que c'est un chinois mais ça n'est pas une preuve de la provenance de ce malware même si en ce moment la Chine est au cœur de tensions internationales.

Cette attaque a quand-même été longuement préparée vu que le développeur JiaT75 contribuait au projet depuis 2 ans.

partager sur Facebook
COMMENTAIRES
Envoyer un commentaire
chargement de l'éditeur en cours...
Envoi d'images
Cliquez sur le bouton "insérer l'image" pour l'ajouter à votre message, le fond de l'image passe en vert indiquant qu'elle est ajoutée. Les images non insérés sont supprimées.

Envoi de fichiers

Attention! vous n'êtes pas connecté, vous postez en mode invité.