XZ Utils'e yönelik tedarik zinciri saldırısı girişimi, olayın arkasındaki şüpheli tehdit aktörünün motivasyonlarının yanı sıra daha büyük açık kaynak ekosisteminin genel güvenliği hakkında rahatsız edici soruları gündeme getiriyor.
Bir Microsoft mühendisi yanlışlıkla xz kitaplığında kurulu, tedarik zincirinde büyük bir tehlikeye yol açabilecek, karartılmış kötü amaçlı kod buldu.
Güvenlik araştırmacıları ve diğer sektör uzmanları, tedarik zinciri saldırısı girişimine yol açan, kendilerini içeriden biri olarak kanıtlamaya yönelik çok yıllı bir çabanın arkasında uzun süredir katkıda bulunan bir kişinin olduğu şüphesine işaret ediyor.
Çoğu Linux dağıtımında bulunan bir veri sıkıştırma yazılımı yardımcı programı olan XZ Utils, araştırmacılara göre uzun süredir geniş çapta güvenilen bir proje olarak görülüyor.
“Bu saldırının en benzersiz ve rahatsız edici yönü, saldırganın kendisini birkaç yıl içinde kademeli olarak güvenilir bir açık kaynak katılımcısı olarak kurmak ve güven ve koruma ve ekleme fırsatı kazanana kadar konumunu dikkatlice ilerletmek için gösterdiği önemli çaba ve yatırımdır. Kötü amaçlı kodu yaygın olarak kullanılan bir pakete dönüştürüyoruz.” Jonathan Sar Shalom, JFrog'da tehdit araştırması direktörüe-posta yoluyla söyledi.
Araştırmacılar bir Github hesabına işaret ediyor: @JiaT75, o zamandan beri askıya alınanarka kapının şüpheli orijinal kaynağı olarak.
GitHub, kabul edilebilir kullanım politikaları uyarınca “kullanıcı hesaplarını askıya aldığını ve içeriği kaldırdığını” doğruladı ancak yapılan incelemenin ardından @Larhzu'ya ait hesap eski durumuna döndürüldü.
@Larhzu hesabı Lassie Collin'e bağlıdır. orijinal ve meşru bakımcı Sitenin.
Bunu, topluluk içinde güven kazanmaya yönelik çok yıllı bir çaba izledi ve aynı zamanda, herhangi bir acil alarm zilini çalmayan, ince değişiklikler yaparak suları test ettiği iddia edildi.
Açık Kaynak Güvenlik Vakfı genel müdürü Omkhar Arasaratnam bir röportajda, “Şimdi kasetin hikayesine baktığımızda, Jia'nın tüm bu küçük değişiklikleri zaman içinde gizlice yerleştirdiğini görüyoruz” dedi. “Hiçbiri felaket değil, hiçbiri çok gösterişli değil. Ama biliyorsun, sırf insanların izleyip izlemediğini görmek için.”
Bakımcılar odak noktasında
Açık kaynak topluluğu, daha önce bakımcıların öfke nöbetleri geçirdiği veya topluluğu daha büyük sorunları protesto etmek için bir platform olarak kullandığı vakalara tanık olmuştu. Ancak bu saldırının sabrı ve karmaşıklığı, giderek artan uzman havuzunda ulus devlet desteğinin bir faktör olup olmadığı konusunda soru işaretleri yaratıyor.
“Analizimiz, e-posta adreslerinin ve IP adreslerinin stratejik kullanımı da dahil olmak üzere, bu olayda gözlemlenen karmaşıklık ve operasyonel güvenliğin, yüksek düzeyde eğitimli ve bilgili bir düşmana işaret ettiğini öne sürüyor.” Sonatype kurucu ortağı ve CTO'su Brian Fox şunları söyledi:bir tedarik zinciri yönetimi platformudur. “Tehdit aktörünün kesin ve sınırlı eylemlerinin ötesinde varlığına dair somut kanıtların bulunmaması, bunu, açık kaynak katkısında bulunan hileli bir kişinin eylemlerinden daha da ayırıyor.”
Cuma günü kırmızı şapka kötü amaçlı kodun mevcut olduğu konusunda uyardı xz araçlarının ve kitaplıklarının en son sürümlerinde. Güvenlik açığı atandı CVE-2024-3094 CVSS puanı 10'dur.
Kullanıcılardan iş veya kişisel kullanım için Fedora Rawhide bulut sunucularını kullanmayı derhal bırakmaları istendi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı geliştiricileri ve kullanıcıları tavizsiz bir sürüme düşürmeleri konusunda uyardı.
Microsoft'un baş yazılım mühendisi Andres Freund, geçen hafta bazı anormal faaliyetlere rastladı ve olayı kamuya açıkladı. Freund, sshd işlemlerinin alışılmadık miktarda CPU kullandığını gözlemledi, ancak yanlış kullanıcı adlarının uygulandığını fark etti.
Freund, “Paket güncellemelerinden birkaç hafta önce, postgreslerin otomatik testlerinde tuhaf bir valgrind şikayeti gördüğümü hatırladım” dedi. Mastodon'da yayınla.
Microsoft, saldırının keşfedilmesindeki rolünü doğruladı ve nasıl yanıt verileceği konusunda kılavuz yayınladı, etkilenen Linux dağıtımlarının bir listesiyle birlikte.
IANS Research'te öğretim üyesi olan Jake Williams, olayın, güvenlik açığı istihbarat ekiplerinin uygun şekilde istihdam edilmesi ve araçlara uygun yatırımlar yapılması da dahil olmak üzere, derinlemesine savunma ihtiyacını ortaya çıkardığını söyledi.
Williams, e-posta yoluyla şunları söyledi: “SSH sunucularına erişimi engelleyen katı güvenlik duvarı kurallarına sahip kuruluşlar, savunmasız dağıtımlarda bile yararlanma fırsatlarını sınırladı.” “Bazı [cloud security posture management systems] Bunun tespit edildiği gün güvenlik açığı bulunan örneklere yönelik taramalar yayınlandı.”