Meraklı bir Microsoft mühendisi, neredeyse her yerde bulunan açık kaynaklı XZ Utils paketinde, Linux bakımcılarını yama çılgınlığına sokan bir arka kapı ortaya çıkardı.
LinkedIn'de kendisini “PostgreSQL geliştiricisi ve işleyicisi” olarak tanımlayan Andres Freund, liblzma kütüphanesinde yaklaşık 500 ms'lik bir performans sorununu araştırdı.
Openwall'a gönderdiği bir gönderide özetlenen araştırması, onu yapı zincirinde gizlenmiş bir komut dosyası tarafından dağıtılan arka kapıyı keşfetmeye yöneltti.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), arka kapının (CVE-2024-3094) XZ Utils'in 5.6.0 ve 5.6.1 sürümlerinde mevcut olduğu ve dağıtımlar yama uygulayana kadar tüm kullanıcıların önceki pakete geçmeleri gerektiği konusunda uyardı.
SANS Enstitüsü'nden Bojan Zdrnja, arka kapıyı “inanılmaz derecede korkutucu” olarak nitelendirdi.
Ve Akamai'nin açıkladığı gibi, “Şu anda, savunmasız makinedeki SSH arka plan programına arka kapı eklenmiş gibi görünüyor, bu da uzaktaki bir saldırganın rastgele kod yürütmesine olanak sağlıyor.
“Bu, SSH'yi internete açık hale getiren savunmasız pakete sahip herhangi bir makinenin potansiyel olarak savunmasız olduğu anlamına geliyor.”
Arka kapı çok sabırlı bir saldırgan tarafından oluşturuldu ve kodun içine yerleştirildi.
Yaklaşık iki yıl önce, kendisine “Jia Tan” diyen biri XZ Utils projesine katıldı ve onun katkıları onun taahhüt izinleri almasına ve sonunda yönetici haklarını serbest bırakmasına yol açtı.
“Görünüşe göre bu izinleri alma çabasının bir parçası olarak Jia Tan, sosyal mühendisliğin ilginç bir biçimini kullandı: Orijinal bakımcıya baskı yapmak için sayısız özellik isteği ve hatalarla ilgili şikayet göndermek için sahte hesaplar kullandılar ve sonunda başka bir izin ekleme ihtiyacına neden oldular. deponun bakımcısı,” diye belirtti Akamai.
2023'te Jia Tan, XZ Utils 5.6.0 sürümünde arka kapı da dahil olmak üzere değişiklikler yaptı.
Hikaye Cuma günü ortaya çıktığından beri GitHub projenin deposunu devre dışı bıraktı.
Akamai şöyle yazdı: “Bu arka kapı neredeyse şimdiye kadarki en önemli izinsiz giriş olanaklarından biri haline geldi; SolarWinds arka kapısını gölgede bırakabilecek bir şeydi.”
“Saldırganlar, aralarında Fedora, Ubuntu ve Debian'ın da bulunduğu, virüs bulaşmış bir dağıtım çalıştıran herhangi bir Linux makinesine neredeyse anında erişim sağlayabildiler. Neredeyse.”
Akamai, saldırının yakalanmasının tek sebebinin Freund'un soruşturması olduğunu açıkladı.
Red Hat, Amazon, Debian, Gentoo, SUSE, Nixos, FreeBSD, Alpine Linux, Arch Linux, Ubuntu ve Open Source Security Foundation dahil olmak üzere çoğu Linux ve BSD dağıtımı tarafından halihazırda tavsiyeler yayınlanmıştır.