Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Sisteme Tam, Uzaktan Erişimi Kolaylaştırmak İçin Tasarlanmış Yardımcı Programdaki Kötü Amaçlı Kod
Mathew J. Schwartz (euroinfosec) •
1 Nisan 2024
Ulus devlet saldırganlarının, tedarik zinciri saldırısının bir parçası olarak yaygın olarak kullanılan açık kaynaklı veri sıkıştırma yazılımına arka kapı açtığı anlaşılıyor.
Ayrıca bakınız: Talep Üzerine En Çok Kullanılabilen Güvenlik Açıklarını İlk Önce ve Hızlı Bir Şekilde Düzeltirim
İlk olarak 2009'da LZMA Utils olarak piyasaya sürülen ve neredeyse tüm açık kaynak ve ticari Linux dağıtımlarında mevcut olan, XZ sıkıştırma formatına yönelik bir dizi açık kaynak araç ve kitaplık olan XZ Utils'in 5.6.0 ve 5.6.1 sürümlerine eklenen kötü amaçlı kod, ortaya çıkıyor hızlı bir şekilde tespit edilmiş olmasıdır. Bu, virüslü sistemlere uzaktan, yetkisiz erişimi kolaylaştırmak için tasarlanmış gibi görünen güvenlik açığının yaygın kullanımının körelmesine yardımcı olmuş olabilir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Cuma günü yaptığı açıklamada, “geliştiricilere ve kullanıcılara XZ Utils'in sürümünü XZ Utils 5.4.6 Stable gibi tavizsiz bir sürüme düşürmelerini tavsiye ettiğini” ve ayrıca “her türlü kötü niyetli etkinliği araştırıp olumlu bulguları bildirmelerini” tavsiye ettiğini söyledi. ajansa.
XZ Utils'teki CVE-2024-3094 olarak adlandırılan güvenlik açığı, XZ paketinin bir parçası olan Liblzma'yı içeriyor. Güvenlik açığı, OpenSSH sunucu işlemi olan SSHD aracılığıyla bir sisteme tam uzaktan erişimi kolaylaştırmak için kullanılıyor.
Linux dağıtım üreticisi Red Hat, güvenlik açığının “kötü niyetli bir kişinin sshd kimlik doğrulamasını kırmasına ve tüm sisteme uzaktan yetkisiz erişim sağlamasına olanak tanıyabileceği” konusunda uyardı. “Neyse ki xz 5.6.0 ve 5.6.1 henüz Linux dağıtımları tarafından geniş çapta entegre edilmedi ve bulundukları yerde çoğunlukla yayın öncesi sürümlerde.”
GitHub, arka kapı kodunu yaymak için kullanılan depoyu devre dışı bıraktı.
ABD Ulusal Güvenlik Açığı Veri Tabanı, “Bir dizi karmaşık gizleme yoluyla, liblzma oluşturma işlemi, kaynak kodunda mevcut gizlenmiş bir test dosyasından önceden oluşturulmuş bir nesne dosyasını çıkarır ve bu daha sonra liblzma kodundaki belirli işlevleri değiştirmek için kullanılır.” dedi. “Bu, bu kütüphaneye bağlı herhangi bir yazılım tarafından kullanılabilen, bu kütüphaneyle veri etkileşimini yakalayan ve değiştiren, değiştirilmiş bir liblzma kütüphanesiyle sonuçlanır.”
İngiliz güvenlik uzmanı Kevin Beaumont bir blog yazısında “Truva atı, diğer işlevlerin yanı sıra komutları yürütmek için SSHD'yi ele geçirmek için özel bir anahtara izin veriyor” dedi. “Son derece gelişmiş.”
Açık Kaynak Güvenlik Vakfı, saldırının en azından şu ana kadar yalnızca Debian veya RPM Paket Yöneticisi paketleriyle çalışacak şekilde tasarlandığını bildirdi. “Bu arka kapının ardındaki motivasyon bilinmemekle birlikte, arka kapılar yalnızca GCC ve GNU bağlayıcı ile oluşturulan x86-64 mimarisi için DEB veya RPM paketlerine uygulandığından amaç belirli dağıtımlardan ödün vermekti” dedi. Yürütülebilir bir dosya veya kitaplık oluşturmak için kullanılan GNU Derleyici Koleksiyonu ve GNU bağlayıcı.
Yazılım Uyarıları
Güvenliği ihlal edilmiş kodu keşfetme kredisi Andres Freund'a aittir. Cuma günü Microsoft'un baş yazılım mühendisi, Açık Kaynak Yazılım Güvenliği e-posta listesine, Debian Unstable (Debian'ın kod adı “Sid” olan sürekli geliştirme sürümü) kurulumlarında “liblzma ile ilgili birkaç tuhaf semptom gözlemledikten” sonra şunu keşfettiğini bildirdi: ” yukarı akışlı xz deposu ve xz tarball'ları” – veya tar yardımcı programı aracılığıyla sıkıştırılmış arşiv dosyaları, Şubat ayından bu yana “arka kapıya kapatılmıştır” ve bunun ardından yardımcı programın yeni sürümü, diğer yazılımlara doğru aşağıya doğru yol almaya başlamıştır.
Uyarısı, Cuma günü Pasifik Saati ile sabah 9'dan hemen önce, Avrupa çapında ve ABD'nin birçok eyaleti ve okul bölgesi de dahil olmak üzere pek çok kişi için uzun bir Paskalya tatili olan hafta sonunun başlangıcında geldi.
O zamandan bu yana bazı yazılım geliştiricileri, kullanıcıları virüslü yazılım almış olabilecekleri konusunda uyardı.
Red Hat, kullanıcıları “lütfen iş veya kişisel etkinlikler için Fedora Rawhide örneklerinin kullanımını derhal durdurmaları” konusunda uyardı. Rawhide, Red Hat Enterprise Linux dağıtımının sürekli gelişen, gelişen bir dağıtımıdır ve gelecekteki Linux yapılarının temelini oluşturur.
Red Hat ayrıca, Fedora Linux 40'ın beta sürümünün bazı kullanıcılarının, “sistem güncellemelerinin zamanlamasına bağlı olarak” XZ kitaplıklarının arka kapılı sürümlerini almış olabileceği konusunda da uyardı, ancak işletim sistemi “kötü amaçlı yazılımların gerçek istismarından etkilenmiş gibi görünmüyor” ” Öyle olsa bile, tüm Fedora 40 Linux beta kullanıcılarını derhal 5.4.x sürümlerine düşürmeye teşvik etti.
Debian geliştirme ekibi, işletim sisteminin hiçbir kararlı sürümünün etkilenmediğini ancak “12.6 için bir sonraki nokta sürümünün, bu CVE'nin arşiv üzerindeki etkilerini araştırırken ertelendiğini” söyledi.
Ubuntu, işletim sisteminin “yayınlanan hiçbir sürümünün” etkilenmediğini söyledi.
Kali geliştirme ekibi, Kali kurulumunu 26 Mart'ta veya sonrasında güncelleyen herkesin uyardı.
Arch Linux, “sshd'nin Arch sürümünde kötü amaçlı kod bulunmadığını, çünkü liblzma ile bağlantı kurmadığını” söyledi, ancak önerilen kullanıcılar “sistemlerindeki savunmasız kodlardan kaçınıyor, çünkü bu kod başka, un- tanımlanmış vektörler.”
Güvenlik açığı aynı zamanda herkes için mevcut olabilir. Homebrew yardımcı programını kullandı Python v3'ü macOS'a yüklemek için.
Suçlu: İstihbarat Operasyonu
Grugq olarak bilinen operasyonel güvenlik uzmanı söz konusu arka kapı açma, boş zamanlarında XZ'yi elinde bulunduran kişiyi, Lasse Collin'i hedef alan ve “kendi projesine yatırılan herkesten daha fazla kaynağı onu alt etmeye yatıran” iki yıllık, karmaşık ve “sabırlı” bir istihbarat operasyonunun sonucu gibi görünüyordu.
The Grugq, Lasse'nin “bu konuda suçsuz olduğunu” söyledi. “Bir istihbarat teşkilatının yönlendirilmiş çıkarlarını bırakın direnmeyi, tespit edebilen tek bir kişi ve çok çok az kuruluş yoktur.” Bu durumda, “ağırlıklı olarak insan zekası” tipi operasyonun ilk aşamalarının, Lasse'ye, özellikle de “Jigar Kumar” adlı bir kişiden XZ'de güncelleme eksikliğini kınayan mesajlarla Mart 2022 civarında başlayacağını söyledi. Daha sonra saldırganlar, Lasse'ye iş yükünde sihirli bir şekilde yardım etmeyi teklif eden ve ardından Lasse'ye sosyal mühendislik yaparak ona kod güncellemelerini doğrudan aktarma hakkını veren “Jia Tan” adında bir kişiyi tanıtmış gibi göründü.
Siber güvenlik uzmanı SwiftOnSecurity söz konusu Saldırı ilginç olsa da, arka kapı aracılığıyla hedeflenmeyen herhangi bir kuruluştaki güvenlik ekiplerinin, örneğin uzaktan bağlantı yazılımlarındaki bilinen kusurları düzeltmede başarısız oldukları için saldırıya uğramak gibi çok daha temel ve acil güvenlik sorunlarına odaklanmaları gerektiği – zamanında.
“Eğer size on milyarlarca dolar ve bir siber serseri ordusuyla saldıracak başka bir şey bulamadıkları için bu tür bir küresel arka kapıyı yakma riskini almaya değerseniz, zaten kazanan sizsiniz. Hile yapmak zorunda kaldılar. Topla ödülünüz,” dedi SwiftOnSecurity. “Bu insanların geri kalanı e-posta ekleri ve yamalanmamış VPN yoğunlaştırıcıları yüzünden ortaya çıkıyor.”
Açık Kaynak Yazılım Ateş Altında
Güvenlik uzmanları yıllardır birçok açık kaynak bileşeninin kritik işlevler sağladığı ancak çoğu zaman yeterli desteğe sahip olmadığı konusunda uyarıyor.
Bu sorun, 2014 yılında OpenSSL kripto kütüphanesinde açık kaynaklı projelere daha fazla para akıtmak için yeni girişimlere yol açan “Heartbleed” kusurunun keşfi de dahil olmak üzere vurgulanmaya devam ediyor. 2021'de, Apache Software Foundation'ın yaygın olarak kullanılan Log4j kayıt yazılımındaki bir kusur olan Log4Shell'in keşfi, eski ve yeni birçok farklı yazılım türünde bulunabilen açık kaynak bileşenlerinin oluşturduğu tedarik zinciri risklerini vurguladı. her zaman belgelenmektedir.
Arizona Eyalet Üniversitesi Walter Cronkite Gazetecilik ve Kitle İletişim Okulu'nda uygulama profesörü olan kıdemli teknoloji köşe yazarı Dan Gillmor, XZ Util saldırısının da vurguladığı gibi, saldırganların bu durumu kendi avantajlarına çevirmeye çalışmasının beklendiğini söyledi.
Gillmor, “Her ne kadar geniş çapta yayılmadan önce yakalanmış olsa da, sabırlı bir 'kötü aktörün' önemli açık kaynak depolarına kötü amaçlı kod yerleştirebileceği gerçeği (bilinen bir olasılık) artık ufukta beliren bir gerçek haline geliyor” dedi.