XZ Utils Nedir ve Ne Oldu?
XZ Utils, çoğu Linux dağıtımında yaygın olarak bulunan açık kaynaklı bir yazılımdır, ancak CVE-2024-3094 yalnızca XZ Utils 5.6.0 ve 5.6.1 sürümlerinde mevcuttur; bu, yalnızca bu yeni sürümleri kullanan Linux dağıtımlarının savunmasız olduğu anlamına gelir. Güvenlik açığı, sshd işleminin (güvenli uzaktan oturum açma ve dosya aktarımı için kullanılan bir protokol) davranışındaki bir anormalliği araştırırken güvenlik açığını bulan açık kaynak geliştirici Andres Freund tarafından keşfedildi ve bildirildi. Sshd’nin alışılmadık derecede yüksek miktarda CPU kaynağı kullandığını ve oturum açma işlemi sırasında önemli bir yavaşlama sergilediğini gözlemledi.
Keşfettiği şey bir arka kapıydı. İlk araştırmalar, arka kapının doğrudan liblzma kütüphanesine açılmadığını gösterdi. Bunun yerine, zararsız görünmesi için gizlice XZ sıkıştırılmış formattaki ikili test dosyalarının içine yerleştirildi. Bu, bu truva atını fark edilmeden kod tabanına daha gizli bir şekilde bırakmak için toplulukta güven kazanma niyetiyle ısrarcı bir tehdidin kasıtlı uzun oyun çabasının daha sonraki bir adımıydı. İçeriden gelen tehditler ve sosyal mühendislik, mücadele edilmesi gereken basit saldırı kategorileri değildir ve bunların olasılıkları ve riskleri, sağlam bir derinlemesine savunma stratejisinin her katmanında dikkate alınmalıdır.
Etkisi Nedir?
XZ Utils’in liblzma kütüphane bileşeninde bulunan ve kod deposundaki standart XZ tarball’larında saklanan arka kapı, tehdit aktörlerinin SSH kimlik doğrulamasını atlamasına ve belirli Linux dağıtımlarında çalışan internete bağlı makinelere yetkisiz uzaktan erişim elde etmesine olanak tanımış olabilir. İlk araştırmalar SSH kimlik doğrulamasını atlama potansiyelini ortaya koyarken, araştırmacılar arka kapının daha karmaşık saldırıları kolaylaştırmak veya keşfedilmemiş ek koşullardan yararlanmak için tasarlanmış olabileceğine inanıyor ve bu yazının yazıldığı an itibariyle hala araştırılıyor. Bazı analizler, arka kapının hedeflenen sistemlerde uzaktan kod yürütülmesine olanak sağladığını ve tehdit aktörlerine ele geçirilen makineler üzerinde tam kontrol sağladığını doğruluyor gibi görünüyor.
Bu güvenlik açığının bilinen diğer olumsuz etkisi ise güvenin açıkça kötüye kullanılmasıdır. Güven, açık kaynağın temelidir ve aslında çoğu teknolojinin de temelidir. Bu güven ihlali kasıtlı ve planlıydı; arka kapının yazarı bu güvenlik açığının ortaya çıkmasından önce iki yıl boyunca bakımcı olmak ve projeye katkıda bulunmak için çalışıyordu. Açık kaynak bakımcılarının ısrarcı bir saldırganın hesaplanmış sosyal mühendislik taktiklerini anlaması için basit bir çözüm yoktur. Açık kaynak her zaman yardım edecek başka iyi bir katılımcı arıyor. Dolayısıyla, güven uygulamasının amacına kötü niyetli bir niyet dahil edildiğinde, tekrar güvenmeyi zorlaştırabilir. Bu, güvenlik açığının teknik etkisinin çok ötesinde dalgalanma etkisine sahip bir insan sorunudur.
Açık Kaynağın Güvenliğini Sağlamak İçin Harekete Geçmek
Yazılım geliştiren, bakımını yapan ve kullanan kurum ve kuruluşlar olarak, kabul etsek de etmesek de, hepimiz açık kaynaklı yazılımlara bağımlıyız. Bu ortak bir değer ve ortak bir risktir. Ayrıca açık kaynak güvenliği, ticari bir işletmenin güvenliği kadar karmaşıktır. Derinlemesine savunmaya ve daha fazla kaynağa ve güvenlik yeteneğine olan aynı ihtiyaçlar hepimizi rahatsız ediyor. Bu, ortak alanların trajedisidir. Bu teknolojiyi ortamdaki iyileştirmeler ve kritik bağımlılıklar için kullanıyoruz. Ama genel olarak kendimizi buranın sahibi hissetmiyoruz, dolayısıyla savunma stratejisine de katkıda bulunmamız gerektiği kabulüyle hareket etmiyoruz.
Yardım etmenin ve sözleri eyleme dönüştürmenin yolları vardır:
- Güvendiğiniz açık kaynağı destekleyen vakıflara katılımı araştırın (örn. OpenJS Foundation, Linux Foundation, Ruby Central, Apache Software Foundation).
- Kritik açık kaynağı güvence altına almak için çalışan bir Linux Vakfı projesi olan OpenSSF’ye bakın. OpenSSF aracılığıyla sponsor olarak veya Çalışma Gruplarına doğrudan kaynak tahsisi yoluyla finansal olarak katkıda bulunabilirsiniz.
- Daha doğrudan kontrol ve katılım için, kuruluşunuzun bağlı olduğu açık kaynak projelerinin sürdürülmesine yardımcı olmak amacıyla mühendislik kaynaklarınızın zamanlarının belirli bir yüzdesini klavyeye ayırdığı sponsorlu bir program oluşturun.
HackerOne’da İnternet Bug Bounty programına ev sahipliği yapıyoruz. Yıllar önce şu soru sorulmuştu: Bilgisayar korsanları açık kaynak yazılımların güvenliğini sağlamaya nasıl yardımcı olabilir? Hata ödül programlarının etkili sürekli test çözümleri olduğunu biliyoruz ve açık kaynak topluluğunun benzersiz ihtiyaçlarına uyacak bir programı kolaylaştırmak istedik. Bu havuzlanmış savunma hatası ödül programı, özellikle paylaşılan açık kaynaklı yazılımlara yönelik güvenlik araştırmalarını teşvik etmek ve daha da önemlisi, kodun güvenliğini sağlamak için geliştiriciler tarafından üstlenilen kritik düzeltme çabalarını desteklemek için oluşturuldu. HackerOne müşterisiyseniz platformdaki programınız aracılığıyla istediğiniz zaman katılabilirsiniz. Yaygın olarak benimsenen bir açık kaynak projesinin koruyucusuysanız ve projenizdeki güvenlik açıklarının keşfedilmesini ve iyileştirilmesini destekleyecek ek kaynaklar arıyorsanız, bize ulaşın: [email protected].
Artık kurum ve kuruluşların bizim sözlerimiz doğrultusunda harekete geçme zamanıdır. Açık kaynağın başarımız için kritik öneme sahip olduğunu kabul ediyoruz ve önemini sözlü olarak destekliyoruz, ancak yine de bunu güvence altına almak için uygun önlemleri alamıyoruz. Açık kaynağın güvenliğini sağlamaya yardımcı olmak için gerçekleştirilebilecek bazı olası eylemleri belirledik ve daha iyisini yapabiliriz.