Siber güvenlik topluluğu, Mart 2024’te endüstriyi sallayan sofistike bir tedarik zinciri saldırısı olan XZ Utils Backdoor’un kalıcı etkileriyle uğraşmaya devam ediyor.
Sahte geliştirici ‘Jia Tan’ tarafından özenle düzenlenmiş iki yıllık bir kampanya olarak başlayan şey, ilk keşfinin çok ötesine uzanan kalıcı bir tehdide dönüştü.
Kötü niyetli aktör, XZ-Utils paketlerine karmaşık bir arka kapı eklemeden önce, Debian, Fedora ve OpenSuse gibi büyük Linux dağıtımlarını etkileyen çok sayıda meşru katkı yoluyla XZ UTILS projesi içinde metodik olarak güvenilirlik yarattı.
Arka kapı, doğrudan OpenSsh sunucularıyla arayüz oluşturan Liblzma.So kütüphanesine gömülü sofistike bir mekanizma ile çalışır.
Enfekte SSH sunucuları ile istemci etkileşimleri tarafından tetiklendiğinde, kötü amaçlı kod RSA_Public_decrypt, RSA_GET0_KEY ve EVP_PKEY_SET1_RSA işlevlerini hedefleyen üç kritik kanca oluşturur.
Bu karmaşık saldırı zinciri, LZMA_CRC32 ve LZMA_CRC64 fonksiyonları için değiştirilmiş IFUNC çözücüleri ile başlar ve aylarca tespit edilmeyen arka kapı işlevselliği için bir yol oluşturur.
Binarly araştırmacılarının son araştırmaları, XZ UTILS Backdoor’un ilk keşfinden bir yıldan fazla bir yıldan fazla bir süre sonra konteyner ortamları için önemli riskler oluşturmaya devam ettiğini ortaya koydu.
Docker Hub depoları kapsamlı analizleri, 35’ten fazla enfekte edilmiş görüntüyü ortaya çıkardı, 12 Debian tabanlı konteyner hala halka açık olarak mevcut ve aktif olarak tehlikeye atılmış kodu dağıttı.
Bu keşif, konteyner güvenliğinde kritik bir kör noktayı vurgulamaktadır, burada bilinen güvenlik açıklarını içeren tarihi eserlerin kamu depolarında devam etmektedir.
Araştırma ekibinin bulguları birinci nesil enfekte görüntülerin ötesine uzanıyor. Docker Hub’ın kapsamlı depo ağının sistematik olarak taranması yoluyla Binarly analistleri, tehlikeye atılan Debian baz görüntüleri üzerine inşa edilmiş çok sayıda ikinci dereceden konteyner belirledi.
.webp)
Geliştirme ortamlarından özel uygulamalara kadar çeşitli kullanım durumlarını kapsayan bu türev kaplar, tedarik zinciri uzlaşmalarının en az görünürlükle konteyner ekosistemler aracılığıyla nasıl yayılabileceğini göstermektedir.
Kalıcılık ve yayılma mekanizmaları
Arka kapının Docker ortamlarındaki kalıcılığı, konteyner güvenlik yaşam döngüsü yönetiminde temel bir zorluk ortaya koymaktadır. Sistematik olarak yamalanabilen geleneksel yazılım güncellemelerinin aksine, konteyner görüntüleri genellikle yayınlandıktan sonra statik tarihsel eserler olarak kalır.
Bu kaplara gömülü kötü amaçlı kod, Liblzma.So kütüphanesinin sistem işlemleriyle entegrasyonu ile işlevselliğini korur ve enfekte bir kap içinde çalışan herhangi bir SSH sunucusunun potansiyel bir saldırı vektörü olmasını sağlar.
Teknik uygulama, standart sıkıştırma işlevini kötü amaçlı işleyiciler aracılığıyla yeniden yönlendiren IFUNC çözücü değişikliklerinden yararlanır.
Konteyner SSH hizmetlerini başlattığında, arka kapı kancalarını SSHD işlem bağlamında oluşturur ve geleneksel güvenlik izlemesini atlayan kalıcı erişim kanalları oluşturur.
Bu yaklaşım, saldırganın hem konteynerleştirme teknolojilerini hem de sistem düzeyinde Linux operasyonlarını derinlemesine anlamasını göstermektedir, bu da tespiti özellikle yüzey düzeyinde güvenlik açığı tarama araçlarına dayanan kuruluşlar için zorlaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.