Uptycs warnt vor gefälschtem Proof-of-Concept-Repository auf GitHub
Uptycs hat auf GitHub ein gefälschtes Proof-of-Concept (PoC)-Repository entdeckt, das sich als legitimer PoC für CVE-2023-35829 ausgibt, eine kürzlich bekannt gewordene hochgradige Schwachstelle im Linux-Kernel. In Wirklichkeit handelt es sich bei dem PoC jedoch um eine Hintertür, die sensible Daten von kompromittierten Hosts stehlen und Bedrohungsakteuren den Fernzugriff ermöglichen kann.
Uptycs entdeckte das betrügerische Repository, das sich als PoC für CVE-2023-35829 ausgab, eine hochgefährliche Schwachstelle im Linux-Kernel. Bei näherer Betrachtung bemerkten die Forscher verdächtige Aktivitäten wie unerwartete Netzwerkverbindungen, ungewöhnliche Datenübertragungen und nicht autorisierte Systemzugriffsversuche. Bei näherer Betrachtung stellten sie fest, dass es sich bei dem PoC um eine Kopie eines älteren, legitimen Exploits für eine andere Sicherheitslücke im Linux-Kernel, CVE-2022-34918, handelte. Der einzige Zusatz war eine Datei mit dem Namen "src/aclocal.m4", die als Downloader für ein Linux-Bash-Skript fungierte und so das Fortbestehen der Malware erleichterte.
Die bösartige Backdoor, die als legitimer PoC getarnt war, ermöglichte es Bedrohungsakteuren, Fernzugriff zu erlangen, indem sie ihren SSH-Schlüssel zur Datei ".ssh/authorized_keys" hinzufügten. Diese Fähigkeit ermöglichte die Exfiltration einer Vielzahl von Daten, die von Hostnamen und Benutzernamen bis hin zu umfassenden Listen von Home-Verzeichnisinhalten reichten. Das Ausmaß der potenziellen Datenkompromittierung war für diejenigen, die den gefälschten PoC ausführten, hoch.
Die Backdoor kann eine breite Palette sensibler Daten stehlen, darunter den Hostnamen, den Benutzernamen, den Inhalt des Home-Verzeichnisses und SSH-Schlüssel. Sie kann auch verwendet werden, um Fernzugriff auf den kompromittierten Host zu erhalten, indem der SSH-Schlüssel des Angreifers zur Datei "authorized_keys" hinzugefügt wird.
Uptycs identifizierte ein weiteres GitHub-Profil, ChriSanders22, das einen gefälschten PoC für VMware Fusion CVE-2023-20871 in Umlauf brachte. Bemerkenswerterweise enthielt es dieselbe aclocal.m4-Datei, die die Installation der versteckten Hintertür auslöste. Ein separates GitHub-Profil wurde gefunden, das einen weiteren gefälschten PoC für CVE-2023-35829 hostet.
Die Entdeckung folgt auf einen früheren Vorfall, bei dem VulnCheck gefälschte GitHub-Konten entdeckte, die sich als Sicherheitsforscher ausgaben, um unter dem Deckmantel von PoC-Exploits für weit verbreitete Software Malware zu verbreiten.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.