Açık kaynaklı XZ Utils veri sıkıştırma kütüphanesinin kullanıcıları, koda kasıtlı olarak yerleştirilmiş bir arka kapının kanıtının ortaya çıkmasından sonra büyük bir tedarik zinciri saldırısının kurbanı olmaktan kıl payı kurtulmuş olabilir.
Kütüphanenin 5.6.0 ve 5.6.1 sürümlerine yerleştirilen kötü amaçlı kod, etkilenen Linux dağıtımlarına yetkisiz erişimi mümkün kıldı ve son birkaç gün içinde Red Hat ve ABD Siber Güvenlik ve Altyapı gibi kuruluşların uyarılarına konu oldu. Güvenlik Ajansı (CISA).
Red Hat, kötü amaçlı yapının güvenli kabuk (SSH) aracılığıyla kimlik doğrulamaya müdahale ettiğini açıkladı. Tavsiye belgesinde, “Doğru koşullar altında, bu müdahale potansiyel olarak kötü niyetli bir aktörün SSH kimlik doğrulamasını kırmasına ve tüm sisteme uzaktan yetkisiz erişim sağlamasına olanak sağlayabilir” dedi.
JFrog'a göre, arka kapının nihai amacı, kötü niyetli bir aktörün hedef makinede çalışan OpenSSH sunucusuna kod enjekte etmesini sağlamak ve belirli uzak saldırganların, kimlik doğrulamadan önce çalıştırılan ve hedefi ele geçiren SSH aracılığıyla rastgele veriler göndermesine olanak sağlamaktır.
CVE-2024-3094 adı verildi ve keşfi, yüksek merkezi işlem birimi yükleri nedeniyle başarısız SSH oturum açma işlemlerini tespit ettikten sonra koda yönlendirilen Microsoft geliştiricisi Andrew Freund'a atfedildi.
Arka kapının kendisi projeye Şubat ayında tanıtılmış gibi görünüyor, ancak Freund tarafından tamamen kullanıma sunulmadan önce bulundu – ancak Red Hat Fedora Linux 40 ve Fedora Rawhide dahil olmak üzere bazı Linux dağıtımları kusurlu kodu zaten almış olabilir .
Debian Linux, Kali Linux ve SUSE gibi diğer ana akım dağıtımlar da konuyla ilgili kendi tavsiyelerini yayınladı.
Derinden kararlı çaba
Tarafından yapılan kapsamlı bir araştırmaya göre, arka kapı JiaT75'i kullanan bir kişinin işi gibi görünüyor. Ars Teknikbirkaç yıldır XZ Utils projesine kapsamlı katkılarda bulunmuştu.
Görünen o ki, kanıtlar JiaT75'in herkesin gözünü karartmak için koordineli ve derinden kararlı bir çaba gösterdiğini gösteriyor. Ancak bu kişi hakkında henüz çok az şey biliniyor ve onun suçlu taraf olmayabileceği ihtimalini dikkate almak önemli; kendilerini tehlikeye atmış olabilirler.
Qualys'in teknolojiden sorumlu başkan yardımcısı Saumitra Das, XZ Utils olayının, kötü şöhretli SolarWinds-Sunburst olayının yankılarını taşıdığını ve uzaktan kimlik doğrulamasız erişime izin vermek için kodun sessizce enjekte edildiğini söyledi.
“Saldırı gerçekleştikten sonra tam saldırı öldürme zincirinin ne olacağı belli değil, ancak bu tür saldırıların erken bir aşamada tespit edilmesi genellikle çok zordur” dedi. “Bu tür olaylar, ölüm zincirinin farklı aşamalarında tespitler sağlamak için derinlemesine savunma ihtiyacını daha da vurguluyor.”
Das ayrıca, genellikle yeni kodun bütünlüğünü güçlendirmenin bir yolu olarak öne sürülen sola kaydırma testinin, sözde istismar senaryosuna karşı yetersiz koruma sağladığını ve kötü niyetli saldırılara karşı ağdaki veya uç noktadaki sistem davranışını gözlemlemenin herhangi bir işe yaramadığını da belirtti. ikili dosyalar. Tespit etme şansına sahip olmak için komuta ve kontrol (C2) veya diğer anormal faaliyetlere ihtiyaç duyulacağını iddia etti.
Das, “Bu… yazılım tedarik zincirimizi daha iyi anlama ihtiyacını vurguluyor” dedi. “SBOM bize yazılım içeriklerini anlatan ilk adımdır. Bir sonraki adım bu bileşenlerin kaynağını doğrulamak olacaktır. Bunu koyan GitHub sağlayıcısı, bu açık kaynak bileşenin nasıl ve kim tarafından korunduğu gibi soruların hepsi dikkate almamız gereken ilgili sorulardır.”
Geliştiricilere ve kullanıcılara, herhangi bir kötü amaçlı etkinlik için kapsamlı bir arama yapmadan önce, XZ Utils'in sürümünü derhal ödün verilmeyen bir sürüme düşürmeleri tavsiye ediliyor.