Yeni araştırma, Docker Hub’da, olayın keşfinden bir yıldan fazla bir yıldan fazla bir süre sonra, rezil XZ Utils Backdoor’u içeren Docker Hub’da ortaya çıkardı.
Binarly araştırması, Hacker News ile paylaşılan bir raporda, bu enfekte taban görüntülerinin üzerine diğer görüntülerin inşa edilmesi, enfeksiyonu geçişli bir şekilde daha etkili bir şekilde yaymış olmasıdır.
Ürün yazılımı güvenlik şirketi, arka kapı ile birlikte gönderilen toplam 35 görüntü keşfettiğini söyledi. Olay, yazılım tedarik zincirinin karşılaştığı riskleri bir kez daha vurgulamaktadır.
XZ UTILS Tedarik Zinciri Etkinliği (CVE-2024-3094, CVSS skoru: 10.0), Andres Freund’un alarmı 5.6.0 ve 5.6.1 sürümlerine gömülü bir arka kapıda duyduğu 2024 yılının sonlarında ortaya çıktı.
Kötü amaçlı kodun ve daha geniş uzlaşmanın daha fazla analizi, birkaç şaşırtıcı keşife yol açtı, ilk ve en önemlisi arka kapının yetkisiz uzaktan erişime yol açabileceği ve SSH aracılığıyla keyfi yüklerin yürütülmesini sağlayabilmesidir.
Özellikle, Liblzma.So kütüphanesine yerleştirilen ve OpenSsh sunucusu tarafından kullanılan arka kapı, bir istemci enfekte olmuş SSH sunucusu ile etkileşime girdiğinde tetiklenecek şekilde tasarlanmıştır.
GLIBC’nin IFUNC mekanizmasını kullanarak RSA_Public_decrypt işlevini ele geçirerek, kötü amaçlı kod, bir saldırganın kimlik doğrulamasını atlamak ve kök komutlarını uzaktan yürütmek için belirli bir özel tuşa sahip olan bir saldırganın izin vermesine izin verdi. ”
İkinci bulgu, değişikliklerin “Jia Tan” (Jiat75) adlı bir geliştirici tarafından itildiği ve neredeyse iki yıl boyunca, saldırının titiz doğasını işaret eden, bakım sorumlulukları verilinceye kadar güven inşa etmek için açık kaynak projesine katkıda bulunarak harcanmasıydı.
İkili, “Bu, etkileyici sofistike ve çok yıllı planlama ile çok karmaşık bir devlet destekli operasyon.” “Bu kadar karmaşık ve profesyonel olarak tasarlanmış kapsamlı bir implantasyon çerçevesi, tek atışlık bir işlem için geliştirilmemiştir.”
Şirketin son araştırması, olayın etkisinin, tüm bu aylardan sonra bile açık kaynaklı ekosistem üzerinden artçı sarsıntılar göndermeye devam ettiğini gösteriyor.
Bu, XZ UTILS arka kapısından birini ve tehlikeye atılan Debian görüntülerini içeren başka bir ikinci dereceden görüntü kümesini içeren 12 Debian Docker görüntüsünün keşfini içerir.
Binarly, temel görüntüleri “bu eserleri tarihsel bir merak olarak bırakmak için kasıtlı bir seçim yaptıklarını, özellikle de aşağıdaki olası olmayan (konteyner/konteyner görüntü kullanımı durumlarında) sömürü için gerekli olan faktörler göz önüne alındığında” kasıtlı bir seçim yaptıklarını söyledi.
Bununla birlikte, şirket, potansiyel ağ oluşturulabilir bir arka kapı içeren halka açık Docker görüntülerinin bırakılmasının, başarılı bir sömürü için gerekli kriterlere rağmen-SSH hizmeti çalışması ile enfekte cihaza ağ erişim ihtiyacına rağmen, önemli bir güvenlik riski taşıdığına dikkat çekti.
“XZ-Utils Backdoor olayı, kısa ömürlü kötü amaçlı kodun bile resmi konteyner görüntülerinde uzun süre fark edilmeyebileceğini ve bu da Docker ekosisteminde yayılabileceğini gösteriyor.”
“Gecikme, bu eserlerin CI boru hatları ve konteyner ekosistemleri aracılığıyla sessizce devam edebileceğini ve yayılabileceğini, basit versiyon izlemenin ötesinde sürekli ikili düzey izleme için kritik ihtiyacı güçlendirebileceğini vurguluyor.”