Yeni bir analiz, büyük Linux dağıtımlarında yaygın olarak kullanılan bir paket olan açık kaynak kütüphanesi XZ Utils'e eklenen kötü amaçlı kodun, uzaktan kod yürütülmesini de kolaylaştırabildiğini ortaya çıkardı.
CVE-2024-3094 (CVSS puanı: 10.0) olarak takip edilen bu cesur tedarik zinciri ihlali, geçen hafta Microsoft mühendisi ve PostgreSQL geliştiricisi Andres Freund'un veri sıkıştırma yardımcı programında uzak saldırganlara güvenlik sağlayan bir arka kapının varlığı konusunda uyarıda bulunmasıyla ortaya çıktı. Güvenli kabuk kimlik doğrulamasından kaçınmanın ve etkilenen sisteme tam erişim sağlamanın yolu.
XZ Utils, Linux ve diğer Unix benzeri işletim sistemlerindeki verileri sıkıştırmak ve açmak için kullanılan bir komut satırı aracıdır.
Kötü amaçlı kodun, Jia Tan (diğer adıyla Jia Cheong Tan veya JiaT75) adlı proje sorumlularından biri tarafından, birkaç yıl süren titiz bir saldırı gibi görünen bir yöntemle kasıtlı olarak tanıtıldığı söyleniyor. GitHub kullanıcı hesabı 2021'de oluşturuldu. Aktörlerin kimliği şu anda bilinmiyor.
Akamai bir raporunda, “Tehdit aktörü neredeyse iki yıl önce XZ projesine katkıda bulunmaya başladı ve kendilerine bakım sorumlulukları verilene kadar yavaş yavaş güvenilirlik kazandı.” dedi.
Zekice yapılmış bir sosyal mühendislik eylemi olarak Jigar Kumar ve Dennis Ens gibi kukla hesaplar inanıldı Orijinal bakımcıyı (Tukaani Projesi'nden Lasse Collin) depoya yeni bir ortak bakımcı eklemeye zorlamak amacıyla özellik istekleri göndermek ve yazılımdaki çeşitli sorunları bildirmek için kullanılmış.
2023'te XZ Utils'e bir dizi değişiklik getiren ve sonunda Şubat 2024'te 5.6.0 sürümünü piyasaya süren Jia Tan'a girin. Bunlar aynı zamanda gelişmiş bir arka kapı da barındırıyordu.
Collin, Haziran 2022'de Kumar ile yaptığı görüşmede, “Daha önceki e-postalarda da ima ettiğim gibi, Jia Tan'ın gelecekte projede daha büyük bir rolü olabilir” dedi.
“Liste dışı pek çok yardımda bulunuyor ve pratikte zaten eş bakım sorumlusu olarak görev yapıyor. 🙂 Git deposunda henüz pek bir şeyin gerçekleşmediğini biliyorum, ancak işler küçük adımlarla gerçekleşiyor. Her halükarda, bakımda bazı değişiklikler zaten var. en azından XZ Utils için devam ediyor.”
Arka kapı, XZ Utils 5.6.0 ve 5.6.1 sürüm tarball'larını etkiler; bunlardan ikincisi aynı implantın geliştirilmiş bir versiyonunu içerir. Collins o zamandan beri projenin ihlalini kabul etti ve her iki tarball'ın da Jia Tan tarafından oluşturulup imzalandığını ve yalnızca artık devre dışı bırakılan GitHub deposuna erişimleri olduğunu belirtti.
Ürün yazılımı güvenlik şirketi Binarly, “Bu, açıkça etkileyici bir gelişmişlik ve çok yıllı planlamaya sahip, çok karmaşık, devlet destekli bir operasyondur” dedi. “Bu kadar karmaşık ve profesyonelce tasarlanmış kapsamlı bir implantasyon çerçevesi, tek seferlik bir operasyon için geliştirilmemiştir.”
Açık kaynaklı kriptograf Filippo Valsorda tarafından arka kapının daha derinlemesine incelenmesi, etkilenen sürümlerin, belirli uzak saldırganların, kimlik doğrulama protokollerini atlatacak ve kurbanın kontrolünü etkili bir şekilde ele geçirecek şekilde yürütülecek bir SSH sertifikası aracılığıyla rastgele veriler göndermesine izin verdiğini ortaya çıkardı. makine.
Akamai, “Sanki savunmasız makinedeki SSH arka plan programına arka kapı eklenmiş gibi görünüyor ve uzaktaki bir saldırganın rastgele kod yürütmesine olanak tanıyor” dedi. “Bu, SSH'yi internete açık hale getiren savunmasız pakete sahip herhangi bir makinenin potansiyel olarak savunmasız olduğu anlamına gelir.”
Söylemeye gerek yok, Freund'un kazara keşfi bugüne kadar keşfedilen en önemli tedarik zinciri saldırılarından biri ve paket Linux dağıtımlarının kararlı sürümlerine entegre edilmiş olsaydı ciddi bir güvenlik felaketi olabilirdi.
“Bu tedarik zinciri saldırısının en dikkate değer kısmı, saldırganın kendini meşru bir bakım sağlayıcı olarak kanıtlamak için iki yıldan fazla çalışması, çeşitli OSS projelerinde iş almayı teklif etmesi ve birden fazla projede kod işlemesi yoluyla aşırı düzeyde kendini adamış olmasıdır. Tespit edilmekten kaçınmak için,” dedi JFrog.
Apache Log4j örneğinde olduğu gibi, olay bir kez daha açık kaynaklı yazılımlara ve gönüllüler tarafından yürütülen projelere olan güveni ve bunların bir uzlaşmaya uğraması veya büyük bir güvenlik açığına sahip olması durumunda ortaya çıkabilecek sonuçların altını çiziyor.
ReversingLabs, “Kuruluşların daha büyük 'düzeltme'si, hem açık kaynak hem de kendi geliştirme süreçlerinde kullanılan ticari kod içindeki kurcalama işaretlerini ve kötü amaçlı özellikleri tespit etmelerine olanak tanıyan araç ve süreçleri benimsemeleridir.” dedi.