Birden fazla JavaScript tabanlı açık kaynak yazılım (OSS) projesini destekleyen Açık Kaynak Güvenlik Vakfı (OpenSSF) ve OpenJS Vakfı, Nisan 2024’ün başlarında XZ Utils veri sıkıştırma kitaplığına karşı gözlemlenen sosyal mühendislik girişiminin bu amaçla gerçekleştirilemeyebileceği konusunda uyardı. münferit bir olay.
XX Utils saldırısında, JiaTan olarak bilinen bir tehdit aktörünün birkaç yıl boyunca XZ Utils projesine sızarak proje yöneticilerinin güvenini kazanması ve bir arka kapı güvenlik açığı olan CVE-2024-3094’e sızmaya çalışmadan önce yazılıma yasal güncellemeler yapılmasına katkıda bulunması görüldü. Keskin gözlü bir araştırmacının hızlı hareketleri olmasaydı, katliama neden olabilirdi.
Şimdi, OpenSSF ve OpenJS, OpenJS Projeler Arası Konseyi’nin projelerinden birini herhangi bir spesifik ayrıntıyı belirtmeden kritik güvenlik açıklarını gidermek için güncellemelerini isteyen çok sayıda şüpheli e-posta almasının ardından, tüm açık kaynak bakımcılarını benzer devralma girişimlerine karşı tetikte olmaya çağırıyor.
OpenJS Vakfı yönetici direktörü Robin Bender Ginn ve OpenSSF genel müdürü Omkhar Arasaratnam, farklı isimler taşıyan ancak örtüşen GitHub ile ilişkili hesaplardan gelen e-postaların yazarlarının, önceden çok az katılımları olmasına rağmen proje yürütücüleri olarak atanmak istediklerini söyledi. JiaTan’ın XZ Utils projesine nasıl girebildiğine benzer şekilde.
OpenJS ekibinin, kendisinin barındırmadığı diğer iki yaygın olarak kullanılan JavaScript projesinde de benzer bir modelin farkına vardığını ve potansiyel güvenlik riskini ilgili OpenJS liderlerinin yanı sıra ABD siber güvenlik yetkililerine işaretlediğini eklediler.
“Bu kişilerin hiçbirine OpenJS tarafından barındırılan projeye ayrıcalıklı erişim hakkı verilmedi. Bender Ginn ve Arasaratnam, saldırıyı detaylandıran ortak bir blog yazısında, “Projenin, Vakfın güvenlik çalışma grubu tarafından ana hatlarıyla belirtilenler de dahil olmak üzere yürürlükte olan güvenlik politikaları var” diye yazdı.
“Açık kaynak projeleri her zaman herkesten, her yerden gelen katkıları memnuniyetle karşılar, ancak bir bakımcı olarak birine kaynak koduna idari erişim izni vermek, daha yüksek düzeyde kazanılmış güven gerektirir ve bu, herhangi bir soruna ‘hızlı çözüm’ olarak verilmez.
“Linux Vakfı ile birlikte, tüm açık kaynak bakımcıları için süregelen bu tehdit konusunda farkındalık yaratmak ve güvenlik ve açık kaynak alanındaki uzmanlardan oluşan geniş topluluğumuzdan pratik rehberlik ve kaynaklar sunmak istiyoruz” dediler.
Nelere dikkat edilmeli
Diğer şeylerin yanı sıra, OSS proje üyeleri, yeni veya göreceli olarak bilinmeyen topluluk üyelerinin dost canlısı, ancak agresif ve ısrarlı koruyucu statüsü arayışına, yükseltilecek yeni taleplere ve potansiyel olarak kukla hesaplar olabilecek diğer bilinmeyen topluluk üyelerinden gelen onaylara karşı dikkatli olmalıdır. .
Üyeler ayrıca yapı olarak bloblar içeren çekme isteklerinin (PR’ler) farkında olmalıdır; XX arka kapısı, kaynak kodu değil, insan tarafından okunamayan bir dosyaydı; kaynak kodunun kasıtlı olarak gizlenmesi veya anlaşılması zor olması; yavaş yavaş artıyor gibi görünen güvenlik sorunları – XZ saldırısı nispeten zararsız bir test değişikliğiyle başladı; tipik proje derleme, oluşturma ve dağıtım prosedürlerinden sapma; ve özellikle birisi bakımcıyı bir kontrolü atlamaya veya incelemeyi hızlandırmaya ikna etmeye çalışıyor gibi görünüyorsa, yanlış bir aciliyet duygusu.
Bender Ginn ve Arasaratnam, “Bu sosyal mühendislik saldırıları, bakımcıların projelerini ve topluluklarını manipüle etmek için sahip oldukları görev duygusunu istismar ediyor” diye yazdı. “Etkileşimlerin sizi nasıl hissettirdiğine dikkat edin. Kendinden şüphe duymaya, yetersizlik duygusuna, proje için yeterince şey yapmamaya vb. neden olan etkileşimler sosyal mühendislik saldırısının parçası olabilir.”
Sosyal mühendislik saldırılarının, insan duygularını ve güvenini hedef almaları nedeniyle programatik araçlarla tespit edilmesi veya bunlara karşı koruma sağlanması zor olabilir; bu nedenle, kısa vadede olası şüpheli faaliyetler hakkında utanmadan veya yargılamadan mümkün olduğunca fazla bilgi paylaşmak da önemlidir. böylece topluluk üyeleri koruyucu stratejileri öğrenebilirler.
Endor Labs güvenlik şefi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nda (CISA) siber inovasyon uzmanı Chris Hughes, açık kaynak dünyasına yönelik daha yaygın sosyal mühendislik saldırıları duymasının şaşırtıcı olmadığını söyledi – üstelik XZ saldırısının önemli ölçüde tanıtım alması göz önüne alındığında , gelecekte diğer kötü niyetli aktörlerin de benzer taktikleri deneyecekleri muhtemeldir.
“Muhtemelen bunların çoğunun halihazırda devam ettiğinden ve zaten başarılı olmuş olabileceğinden ancak henüz açığa çıkmadığından veya tanımlanmadığından şüphelenebiliriz. Açık kaynak projelerinin çoğu inanılmaz derecede yetersiz finanse ediliyor ve tek veya küçük bir bakımcı grubu tarafından yürütülüyor, bu nedenle bunlara yönelik sosyal mühendislik saldırılarından yararlanmak şaşırtıcı değil ve ekosistemin ne kadar savunmasız olduğu ve bakımcıların maruz kaldığı baskılar göz önüne alındığında, büyük olasılıkla bu konuda yapılacak yardımı memnuniyetle karşılayacaklardır. birçok durumda” dedi.
“Saldırganlar tarafından iyi bir şekilde yapılırsa, bakımcıların hangi katılımın işbirliği yapmak ve projelere katkıda bulunmakla ilgilenenlerin mi, yoksa kötü niyetli olanların mı olduğunu belirlemesi zor olabilir.”
Hughes, daha genel olarak, tüm açık kaynak projelerinin yaklaşık dörtte birinin yalnızca bir bakımcıya sahip olması ve %94’ünün 10’dan az bakımcıya sahip olması nedeniyle bunun genel olarak açık kaynak topluluğu için büyük bir risk oluşturduğu konusunda uyardı. Bu risk daha sonra açık kaynak kullanan kuruluşlara da yansıyor. yazılımlarındaki kaynak yazılım bileşenleri.
“Bu, OSS ekosisteminin ne kadar opak olduğuna dair daha büyük bir soruna dair farkındalığı artırıyor. Modern dijital altyapının tamamını çalıştıran bileşenler ve projeler genellikle bilinmeyen takma adlar ve dünyanın dört bir yanına dağılmış kişiler tarafından sürdürülür. Dahası, çoğu OSS projesi tek bir kişi veya küçük bir grup kişi tarafından, genellikle boş zamanlarında bir hobi veya tutku projesi olarak ve genellikle herhangi bir ücret ödenmeden sürdürülür.
“Bu, tüm ekosistemi, bu gerçekleri avlayan ve dünyanın bağlı olduğu kodu sürdürme konusundaki sıkı çalışmaları ve bağlılıkları karşılığında gerçek bir tazminat olmadan onlardan taleplerde bulunan bir toplulukla bunalmış bakımcılardan yararlanan kötü niyetli aktörlere karşı savunmasız hale getiriyor” dedi. .