XZ Utils nedir ve ne oldu?
XZ UTILS, çoğu Linux dağıtımında yaygın olarak bulunan açık kaynaklı bir yazılımdır, ancak CVE-2024-3094 sadece XZ UTILS sürümleri 5.6.0 ve 5.6.1’de mevcuttur, yani sadece bu yeni sürümleri kullanan Linux dağıtımları savunmasızdır. Güvenlik açığı, SSHD işleminin davranışında bir anomaliyi araştırırken güvenlik açığını bulan açık kaynak geliştirici Andres Freund tarafından keşfedildi ve bildirildi (güvenli uzaktan giriş ve dosya aktarımı için kullanılan bir protokol). SSHD’nin alışılmadık derecede yüksek miktarda CPU kaynağı kullandığını ve giriş işlemi sırasında önemli bir yavaşlama sergilediğini gözlemledi.
Keşfettiği şey bir arka kapıydı. İlk araştırmalar, arka kapının doğrudan Liblzma kütüphanesine girmediğini göstermiştir. Bunun yerine, zararsız görünmesi için XZ sıkıştırılmış formatındaki ikili test dosyalarına gizlice gömülmüştür. Bu, bu Truva atını tespit edilmeyen kod tabanına daha gizli bir şekilde bırakmak için topluluğa güvenmek amacıyla kalıcı bir tehditle kasıtlı bir uzun oyun çabasının daha sonraki bir adımıydı. İçeriden tehdit ve sosyal mühendislik, savaşa yönelik basit saldırı kategorileri değildir ve güçlü bir savunma stratejisinin her katında olasılıkları ve riskleri dikkate alınmalıdır.
Etki nedir?
XZ Utils’in Liblzma kütüphanesi bileşeninde bulunan ve kod deposu içindeki standart XZ tarballs içinde saklanan arka kapı, tehdit aktörlerinin SSH kimlik doğrulamasını atlamasını ve belirli Linux dağıtımlarında çalışan internet bağlantılı makinelere yetkisiz uzaktan erişim kazanmasını sağlayabilir. İlk araştırmalar SSH kimlik doğrulama bypass potansiyelini öne sürse de, araştırmacılar arka kapının daha sofistike saldırıları kolaylaştırmak veya bu yazıdan itibaren araştırılmakta olan ek keşfedilmemiş koşullardan yararlanmak için tasarlanmış olabileceğine inanıyorlar. Bazı analizler ayrıca, arka kapının hedeflenen sistemlerde uzaktan kod yürütülmesini sağladığını ve tehdit aktörlerine tehlikeye atılan makineler üzerinde tam kontrol sağladığını doğrulamaktadır.
Bu kırılganlığın tanınmış diğer olumsuz etkisi, güvenin açık bir şekilde kötüye kullanılmasıdır. Güven, açık kaynağın temeli ve gerçekten çoğu teknolojinin temelidir. Bu güven ihlali kasıtlı ve kalibre edilmişti, Backdoor’un yazarı, bu güvenlik açığını tanıtmadan önce iki yıl boyunca sürdürücü olmak ve projeye katkıda bulunmak için çalışıyor. Açık kaynak bakımcılarının kalıcı bir saldırganın hesaplanan sosyal mühendislik taktiklerini görmesi için basit bir çözüm yoktur. Açık kaynak her zaman yardım etmek için başka bir iyi katkıda bulunur. Dolayısıyla, hain niyet güven egzersizi amacına gömüldüğünde, tekrar güvenmeyi zorlaştırabilir. Bu, güvenlik açığının kendisinin teknik etkisinin çok ötesinde bir dalgalanma etkisi olan bir insan sorunudur.
Açık Kaynağı Güvende İçin Harekete Geçme
İster kabul edip etmesek de yazılımı oluşturan, koruyan ve kullanan işletmeler ve kuruluşlar olarak, hepimiz açık kaynak yazılıma bağımlıyız. Paylaşılan bir değer ve ortak bir risktir. Ayrıca, açık kaynak güvenlik, ticari bir işletme için güvenlik kadar karmaşıktır. Derinlik ve daha fazla kaynak ve güvenlik yeteneği için aynı ihtiyaçlar hepimizi rahatsız ediyor. Bu Avamonların bir trajedisi. Bu teknolojiyi çevre boyunca iyileştirmeler ve kritik bağımlılıklar için kullanıyoruz. Ancak, genel olarak, ona sahip olduğumuzu hissetmiyoruz, bu nedenle savunma stratejisine de katkıda bulunmamız gerektiğine dair kabul üzerine hareket etmiyoruz.
Kelimeleri harekete geçirmenin ve harekete geçirmenin yolları vardır:
- Bağımlı olduğunuz açık kaynağı destekleyen temellere katılmaya bakın (örneğin, OpenJS Foundation, Linux Foundation, Ruby Central, Apache Yazılım Vakfı).
- Kritik açık kaynağı güvence altına almak için çalışan bir Linux Vakfı projesi olan OpenSSF’ye bakın. OpenSSF aracılığıyla finansal olarak sponsor olarak veya çalışma gruplarında doğrudan kaynak tahsisi yoluyla katkıda bulunabilirsiniz.
- Daha fazla doğrudan kontrol ve katılım için, mühendislik kaynaklarınızın kuruluşunuzun bağlı olduğu açık kaynak projelerinin korunmasına yardımcı olmak için klavyeye ellerini koymak için zamanlarının bir yüzdesini aldığı dahili olarak sponsorlu bir program oluşturun.
HackerOne’da İnternet Bug Bounty programına ev sahipliği yapıyoruz. Yıllar önce soru soruldu, bilgisayar korsanları açık kaynak yazılımlarının güvenliğini nasıl sağlayabilir? Bug Bounty programlarının etkili sürekli test çözümleri olduğunu biliyoruz ve açık kaynak topluluğunun benzersiz ihtiyaçlarına uygun bir programı kolaylaştırmak istedik. Bu havuzlanmış Savunma Böcek Programı, güvenlik araştırmalarını paylaşılan açık kaynak yazılımlarına teşvik etmek ve daha da önemlisi, koruyucuların kodu güvence altına alma çabalarını desteklemek için özel olarak inşa edilmiştir. Hackerone müşterisiyseniz, programınızdan platformdaki programınız aracılığıyla istediğiniz zaman katılabilirsiniz. Yaygın olarak benimsenen bir açık kaynak projesinin bakımını sürdürüyorsanız ve projenizdeki güvenlik açıklarının keşfini ve iyileştirilmesini desteklemek için ek kaynaklar arıyorsanız, bize ulaşın: ibb@hackerone.com.
Bu, işletmelerin ve kuruluşların sözlerimiz üzerinde harekete geçme zamanıdır. Açık kaynağın başarımız için kritik olduğunu ve önemi sözlü olarak desteklediğini kabul ediyoruz, ancak yine de bunu güvence altına almak için uygun önlemleri alamıyoruz. Açık kaynağın güvenliğini sağlamak için alınabilecek bazı olası eylemler düzenledik ve daha iyisini yapabiliriz.