Çoğu Linux dağıtımında bulunan bir sıkıştırma aracı olan XZ Utils'in, sözde güvenilir bir bakımcı tarafından arka kapıya kapatıldığı haberi, pek çok kişi için uzun bir hafta sonunun başlangıcına yalnızca saatler kala, Cuma günü açık kaynak yazılım topluluğunu sarstı.
O günden bu yana neredeyse iki gün geçti. Şu anda tüm olay hakkında ne biliyoruz?
Keşif
Arka kapı, Microsoft'ta yazılım mühendisi olan Andres Freund tarafından, Debian sid (yani geliştirme) kurulumlarında bazı şeyleri test ederken ve SSH oturum açma işlemlerinin neden çok fazla CPU gücü kullandığını ve neden hataların ortaya çıktığını öğrenmek isterken keşfedildi.
Sorunun, XZ paketinin bir parçası olan liblzma veri sıkıştırma kitaplığında olduğunu buldu ve “yukarı akış xz deposunun ve xz tarball'larının arka kapıyla kapatıldığı” sonucuna vardı.
Kendisinin bir güvenlik araştırmacısı ya da tersine mühendis olmadığını belirtmesine rağmen, testleri sırasında pek çok şey toplamayı başardı ve daha da önemlisi, sorunu Debian'a ve diğer Linux dağıtımlarına bildirdi.
Red Hat'in, Fedora Linux'un bazı sürümlerinin XZ kitaplıklarının arka kapılı sürümlerini içerdiğini onaylamasının ardından kamuya açık bir açıklama, sonraki günlerde yayınlanacak bilgi ve spekülasyon çığının yalnızca başlangıcıydı.
Arka kapılı XZ paketlerinden hangi Linux dağıtımları etkilendi?
Arka kapı hakkında konuşmaya başlamadan önce: Makinenizin tehlikeye girebileceğinden endişelenmeli misiniz?
Kırmızı şapka bunu doğruladı Fedora Ham Deri (Fedora Linux'un mevcut geliştirme sürümü) ve Fedora Linux 40 beta xz kitaplıklarının etkilenen sürümlerini (5.6.0, 5.6.1) içeriyordu ve hiçbir sürümü yoktu Red Hat Kurumsal Linux (RHEL) etkilenir.
OpenSUSE bakımcılar bunu söylüyor openSUSE Tumbleweed Ve openSUSE MicroOS 7 Mart ile 28 Mart arasında etkilenen bir xz sürümünü içeriyordu ve bu sürümü kullananların ne yapması gerektiğine dair tavsiyelerde bulundu. “Tumbleweed'e bulaşan kötü amaçlı dosyanın SUSE Linux Kurumsal ve/veya Sıçramak.”
Debian bakımcılar “hiçbir Debian kararlı sürümünün etkilenmediğinin bilinmediğini” ancak tehlikeye atılan paketlerin Debian testinin, kararsız ve deneysel dağıtımların bir parçası olduğunu ve bu kullanıcıların “xz-utils paketlerini güncellemeleri istendiğini” duyurdular.
Kullanıcıları Kali Linux OffSec, 26 Mart ile 29 Mart arasında kurulumlarını güncelleyen uygulamaların etkilendiğini doğruladı.
Bazı Arch Linux sanal makine ve konteyner görüntüleri ile etkilenen XZ sürümlerini içeren bir yükleme ortamı.
ubuntu Ubuntu'nun yayınlanmış hiçbir sürümünün bu sorundan etkilenmediğini söylüyor.
Linux Nane etkilenmez. Gentoo Linux etkilenmez. Amazon Linux müşteriler etkilenmez. Alp Linux – etkilenmemiş.
Kullanıcılar, Linux dağıtımlarının bakımcıları tarafından sağlanan rehberliğe uymalıdır ve sisteminizin liblzma kütüphanesinin arka kapılı bir sürümünü kullanıp kullanmadığını kontrol etmek için bir komut dosyası vardır.
Orca Security Araştırma Ekibi Lideri Bar Kaduri, “Kurulan paketleri etkileyen herhangi bir sistem potansiyel bir güvenlik olayı olarak ele alınmalı ve arka kapının kullanılıp kullanılmadığını belirlemek için araştırılmalıdır” diyor.
“En azından tavsiye ediyoruz [that you] makinede herhangi bir hassas bilgi veya hassas anahtar olup olmadığını kontrol edin, makinede bulunan veya makineyle ilgili tüm kimlik bilgilerini döndürün, [and] Etkilenen makinenin patlama yarıçapındaki tüm varlıkları inceleyin.”
XZ arka kapısı
XZ Utils, .xz dosyalarını sıkıştırmak/açmak için kullanılan bir komut satırı aracıdır.
XZ Utils 5.6.0 ve 5.6.1 sürümlerinin ele geçirildiği tespit edildi. Arka kapı, SSH bağlantılarını dinleyen sshd (yani SSH arka plan programı uygulaması) tarafından kullanılan paketin liblzma kitaplığındadır.
Güvenlik araştırmacıları, açık kaynak bakımcıları ve diğerleri, ele geçirilen sürümleri ve arka kapıyı analiz ediyor ve yayınladılar. onların Ön bulgular.
“xz-utils'te keşfedilen arka kapı karmaşık ve dolaylıdır ve yalnızca belirli koşullar altında ortaya çıkar. Yeteneklerinin tamamı hala araştırılıyor olsa da, halka açık SSH bağlantı noktalarına bağlanan ayrıcalıklı uzak sistemler tarafından tetiklenebileceğini biliyorduk. Güvenlik araştırmacısı Ofek Haviv, bu etkinleştirmenin performans sorunlarına yol açabileceğini ve potansiyel olarak sistem bütünlüğünü tehlikeye atabileceğini belirtti.
Kim yaptı?
XZ Utils, Lasse Collin tarafından yazıldı ve hala onun tarafından yönetiliyor, ancak arka kapı, “Jia Tan” (GitHub'da JiaT75) tarafından yönetilen ve birkaç yıl içinde çorap kuklası hesapları ve güvenin yardımıyla – sosyal mühendislik yoluyla inşa etti – yazılımın üretken bir koruyucusuydu ve arka kapının varlığını gizli tutmak için başka şeyler de yaptı.
Bu tedarik zinciri saldırısının arkasındaki tehdit aktörünün kim olduğunu asla bilemeyebiliriz, ancak siber güvenlik ve OSS topluluğu genel olarak “Jia Tan” tarafından gösterilen uzun süreli, uyumlu çabanın gelişmiş bir tehdit aktörüne işaret ettiği konusunda hemfikirdir.
“Arka kapı girişimi, Linux ekosisteminin bu kadar ilerisine ulaşmak için çok yüksek bilgi, araştırma, geliştirme ve ticari beceri çıtasını içeren çok ciddi bir girişimdi. Ek olarak, tehdit aktörünün Github'da yaptığı değişiklikler birkaç yıla yayılıyor ve 2015'ten bu yana göze çarpan küçük sorunlar nedeniyle OSS Fuzzer ile uyumlu olmayan işlevlerin getirilmesi, ardından geçen yıl OSS Fuzzer'ın XZ Utils'i taramadan hariç tutmasının sağlanması gibi şeyleri içeriyor,” diye belirtti araştırmacı Kevin Beaumont. .
“Arka kapının kendisi çok iyi bir şekilde bir araya getirilmiş ve hatta bir kill komutu aracılığıyla arka kapıyı uzaktan devre dışı bırakma ve kaldırma yeteneğini de içeriyor. Birkaç gündür, küresel odaklanmaya rağmen, tersine mühendisliği bitiren kimseyi görmedim.”
Freund arka kapıyı tesadüfen keşfetti ve bu, Linux ve daha geniş açık kaynak yazılım topluluğu için son derece şanslı bir fırsattı. Her şeyden önce, arka kapı büyük Linux dağıtımlarının kararlı sürümlerinde bulunmuyordu. Ancak aynı zamanda bu olay, önemli açık kaynak projelerinin nasıl güvenli tutulacağı konusundaki tartışmanın yakında en azından birkaç pratik çözümle sonuçlanması GEREKLİ olduğunu da kanıtlıyor.