Skip to main content

Scan Yara et faille linux xz


BertrandFR
Forum|alt.badge.img+8

Bonjour,

Certains d’entre vous ont du surement le lire à travers les médias et différentes plateformes la nouvelle sur la faille sur xz et son histoire intrigante. Cela nous a permis d’en discuter avec @EricM @Julien Mousqueton et de pointer un cas d’utilisation de la nouvelle fonctionnalité malware de scan de Veeam V12.1 afin scanner des sauvegardes et de pouvoir remonter si nécessaire par rapport à votre rétention.

Contexte:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Yara rule communautaire:
https://github.com/Neo23x0/signature-base/blob/master/yara/bkdr_xz_util_cve_2024_3094.yar

Utilisation avec Veeam:

How YARA Scan Works - User Guide for VMware vSphere (veeam.com)

YARA Scan for Scan Backup - User Guide for VMware vSphere (veeam.com)

Bonne investigation :)

 

 

7 comments

Steph Soc and more
Forum|alt.badge.img

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???


Forum|alt.badge.img
  • New Here
  • 3 comments
  • April 3, 2024

Merci Bertrand !


JMousqueton
Forum|alt.badge.img+3
  • Veeam Vanguard
  • 10 comments
  • April 3, 2024

Merci @BertrandFR, pour les plus feignants d’entre nous, un beau résumé de cette vuln. en une page 

 

 


Stabz
Forum|alt.badge.img+8
  • On the path to Greatness
  • 351 comments
  • April 3, 2024

Merci pour le partage les gars :)


JMousqueton
Forum|alt.badge.img+3
  • Veeam Vanguard
  • 10 comments
  • April 3, 2024
Steph Soc and more wrote:

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???

 

En réalité pas tous les systèmes Linux sont impactés :

  • les principales branches de développement (exemple : Debian unstable/sid, Fedora Rawhide) [1][2]
  • Kali Linux 😜 [3]
  • OpenSuSE Tumbleweed [4]
  • Arch Linux [5]

Néanmoins cela de vous dédouane pas de vérifier : “la confiance n’exclut pas le contrôle”  🤣

Posté depuis UTC+2 (private joke) 

[1] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[2] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[3] https://twitter.com/kalilinux/status/1773786266074513523

[4] https://news.opensuse.org/2024/03/29/xz-backdoor/

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/


  • New Here
  • 2 comments
  • May 14, 2024

Bonjour,

 

Comment utilisez vous le yara scan des backups Linux ? Veeam même en derniere version ne supportant pas le scan Yara directement des backups de machines Linux (prévue pour une prochaine version si j’ai bien suivi).

 

Merci du retour.

Boris


  • New Here
  • 2 comments
  • May 14, 2024
NightBird67 wrote:

Bonjour,

 

Comment utilisez vous le yara scan des backups Linux ? Veeam même en derniere version ne supportant pas le scan Yara directement des backups de machines Linux (prévue pour une prochaine version si j’ai bien suivi).

 

Merci du retour.

Boris

Ok j’ai ma réponse via script powershell etc…

https://github.com/yetanothermightytool/powershell/blob/master/vbr/vbr-securerestore-lnx/v12.1/README.md

 

 


Comment