ClickCease Uptycs warnt vor gefälschtem Proof-of-Concept-Repository auf GitHub

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Uptycs warnt vor gefälschtem Proof-of-Concept-Repository auf GitHub

Juli 26, 2023 - TuxCare PR Team

Uptycs hat auf GitHub ein gefälschtes Proof-of-Concept (PoC)-Repository entdeckt, das sich als legitimer PoC für CVE-2023-35829 ausgibt, eine kürzlich bekannt gewordene hochgradige Schwachstelle im Linux-Kernel. In Wirklichkeit handelt es sich bei dem PoC jedoch um eine Hintertür, die sensible Daten von kompromittierten Hosts stehlen und Bedrohungsakteuren den Fernzugriff ermöglichen kann.

Uptycs entdeckte das betrügerische Repository, das sich als PoC für CVE-2023-35829 ausgab, eine hochgefährliche Schwachstelle im Linux-Kernel. Bei näherer Betrachtung bemerkten die Forscher verdächtige Aktivitäten wie unerwartete Netzwerkverbindungen, ungewöhnliche Datenübertragungen und nicht autorisierte Systemzugriffsversuche. Bei näherer Betrachtung stellten sie fest, dass es sich bei dem PoC um eine Kopie eines älteren, legitimen Exploits für eine andere Sicherheitslücke im Linux-Kernel, CVE-2022-34918, handelte. Der einzige Zusatz war eine Datei mit dem Namen "src/aclocal.m4", die als Downloader für ein Linux-Bash-Skript fungierte und so das Fortbestehen der Malware erleichterte.

Die bösartige Backdoor, die als legitimer PoC getarnt war, ermöglichte es Bedrohungsakteuren, Fernzugriff zu erlangen, indem sie ihren SSH-Schlüssel zur Datei ".ssh/authorized_keys" hinzufügten. Diese Fähigkeit ermöglichte die Exfiltration einer Vielzahl von Daten, die von Hostnamen und Benutzernamen bis hin zu umfassenden Listen von Home-Verzeichnisinhalten reichten. Das Ausmaß der potenziellen Datenkompromittierung war für diejenigen, die den gefälschten PoC ausführten, hoch.

Die Backdoor kann eine breite Palette sensibler Daten stehlen, darunter den Hostnamen, den Benutzernamen, den Inhalt des Home-Verzeichnisses und SSH-Schlüssel. Sie kann auch verwendet werden, um Fernzugriff auf den kompromittierten Host zu erhalten, indem der SSH-Schlüssel des Angreifers zur Datei "authorized_keys" hinzugefügt wird.

Uptycs identifizierte ein weiteres GitHub-Profil, ChriSanders22, das einen gefälschten PoC für VMware Fusion CVE-2023-20871 in Umlauf brachte. Bemerkenswerterweise enthielt es dieselbe aclocal.m4-Datei, die die Installation der versteckten Hintertür auslöste. Ein separates GitHub-Profil wurde gefunden, das einen weiteren gefälschten PoC für CVE-2023-35829 hostet.

Die Entdeckung folgt auf einen früheren Vorfall, bei dem VulnCheck gefälschte GitHub-Konten entdeckte, die sich als Sicherheitsforscher ausgaben, um unter dem Deckmantel von PoC-Exploits für weit verbreitete Software Malware zu verbreiten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Zusammenfassung
Uptycs warnt vor gefälschtem Proof-of-Concept-Repository auf GitHub
Artikel Name
Uptycs warnt vor gefälschtem Proof-of-Concept-Repository auf GitHub
Beschreibung
Ein gefälschtes PoC-Repository (Proof-of-Concept) wurde von Uptycs auf GitHub entdeckt, das sich als legitimer PoC für CVE-2023-35829 ausgibt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter