Binarly’deki güvenlik araştırmacıları, sofistike tedarik zinciri hackinin, Mart 2024’te XZ Utils Backdoor’un şaşırtıcı vahiyinden bir yıldan fazla bir süre sonra, Docker Hub’daki halka açık Docker görüntülerinde hala var olduğunu keşfettiler.
XZ UTILS projesine iki yıl boyunca sızan ‘Jia Tan’ olarak bilinen sahte bir geliştiriciye atfedilen arka kapı, kayıpsız sıkıştırma kütüphanesinin 5.6.0 ve 5.6.1 sürümlerine gömüldü.
Bu kötü niyetli kod, OpenSSH sunucularıyla entegre olan ve RSA_Public_decrypt, RSA_GET0_KEY ve EVP_PKEY_SET1_RSA gibi kritik işlevler üzerindeki bir kanca zinciri aracılığıyla yetkisiz uzaktan erişimi sağlayan Liblzma.So paylaşılan nesneyi hedefledi.
Debian tabanlı kaplarda kalan tehdit
İmplantasyon, LZMA_CRC32 ve LZMA_CRC64’teki kontrol akışına karşı kurcalama için GNU Dolaylı Fonksiyonu (IFUNC) çözücülerini, SSHD işleminde çalışma zamanı müdahalesi ve yük yürütmesine izin verdi.
Başlangıçta Debian, Fedora ve OpenSuse gibi büyük Linux dağıtımlarında dağıtılan arka kapı, bulut altyapısı ve gömülü sistemler için ciddi riskler oluşturdu, acil geri dönüşler ve topluluk güdümlü hafifletmeler yaptı.
Binarly’nin 15 TB’lık bir Docker görüntüsü veri kümesi üzerinde yapılan son analizi, AMD64 gibi mimariler için 11 Mart 2024’te inşa edilen en az 12 Debian tabanlı görüntünün hala backdoured Liblzma.so’yu barındırdığını ortaya koydu.
Bunlar, Virustotal’a yüklenen bilinen kötü niyetli artefaktlarla eşleşen belirli manifest sindirimleri ve leke karma ile tanımlanabilen kararsız-20240311, Trixie-20240311-Slim ve SID-20240311 gibi etiketleri içerir.
Endişe verici bir şekilde, bu tehlikeye atılan temel görüntüler geçişli bir şekilde yayıldı, Buildpack-Deps, Neurodebian ve geliştirme, CI/CD boru hatları ve potansiyel olarak işletme ortamlarında kullanılan diğer depolara 35’in üzerinde ikinci dereceden görüntüleri bulaştı.
Örneğin, MakePad/Opencv deposundaki Trixie-4.9.0 ve Trixie-Slim-4.9.0 dahil görüntüler, MYOUNG34/GitHub-Runner ve Controlplane/Sectools’dakiler gibi arka kapıyı devralın.
Binarly’nin taraması, Docker Hub’daki tarihsel veri kullanılabilirliği nedeniyle Debian eserleri ile sınırlı olsa da, Fedora ve opensuse türevi kaplara yayılma, ekosistem çapında görünürlükteki boşlukları vurgulayarak değerlendirilmez.
Yazılım tedarik zinciri güvenliği
Bu geri yüklenen görüntülerin kalıcılığı, yaygın farkındalıktan sonra bile tedarik zinciri tehditlerinin ortadan kaldırılmasındaki zorlukların altını çiziyor.
Binarly, Debian bakıcılarını kaldırmaya çalışarak bildirdi, ancak artefaktlar erişilebilir kalıyor, bakımcılar kullanıcıların güncel yapılara öncelik vermeleri gerektiğine işaret ediyor.
Bu duruş, otomatik iş akışları veya eski sistemlerde yanlışlıkla çekilme risklerini göz ardı etmektedir; burada Backdoor’un özel anahtar kazanç ağına sahip saldırganların SSH hizmetlerine erişebileceği durumlarda sömürü gerçekleşebilir.
Çok yıllı planlama ve yeniden kullanılabilir IFunc kanca teknikleri ile devlet destekli sofistike olan arka kapı tasarımı, potansiyel olarak diğer saldırılarda yeniden tasarlanan izole bir olay olmayabileceğini gösteriyor.
Bu tür tehditlerle mücadele etmek için Binarly, anormal IFUNC çözümleyicileri ve ELF dosya değişikliklerini tespit etmek için statik analizle şeffaflık platformunu geliştirerek sıfıra yakın yanlış pozitiflere ulaştı.
Bu teknoloji, hash eşleştirme veya yeniden derlenmiş varyantlara karşı düşen Yara String sabitleri gibi kırılgan yöntemlere güvenmeden kontrol akışını kurcalamayı tanımlayan ücretsiz XZ.Fail tarayıcısına güç verir.
Platformun bir Yara kural oyun alanının son entegrasyonu, proaktif iyileştirmeye yardımcı olarak özel kurallar için yazılım portföylerinin hızlı bir şekilde taranmasını sağlar.
Bu keşif, konteyner kayıtlarında sürekli ikili seviyeli izleme ihtiyacını vurgulamaktadır, çünkü kısa ömürlü uzlaşmalar katmanlı bağımlılıklar yoluyla dayanabilir ve güçlenebilir ve modern DevOps uygulamalarındaki güvenlik açıklarını ortaya çıkarır.
Tedarik zinciri olayları çoğaldıkça, saldırı yüzeylerini azaltmak ve esnek ekosistemleri sağlamak için bu gibi araçlar gereklidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free