OpenJS Vakfı, kendisine “Jia Tan” adını veren birinin açık kaynaklı XZ Utils paketine bir arka kapı eklemesiyle sonuçlanan benzer bir “güvenilir devralma girişimi” başlattı.
Bu kötü niyetli bakımcı, projenin yazarı ve birincil bakım sorumlusu Lasse Collin’i projenin sorunsuz bir şekilde ilerlemesini sağlamayla ilgili sorumluluk yükünü paylaşmaya ikna etmeyi amaçlayan uzun vadeli başarılı bir sosyal mühendislik kampanyasının ardından imrenilen pozisyona ulaştı.
OpenJS Vakfı ve Açık Kaynak Güvenliği (OSS) Vakfı liderleri Pazartesi günü şunları paylaştı: “OpenJS Vakfı Çapraz Proje Konseyi, benzer mesajlar içeren, farklı adlar taşıyan ve GitHub ile ilişkili e-postalarla örtüşen şüpheli bir dizi e-posta aldı.”
“Bu e-postalar, OpenJS’den popüler JavaScript projelerinden birini ‘kritik güvenlik açıklarını ele alacak’ şekilde güncellemesi için harekete geçmesi için yalvardı, ancak herhangi bir ayrıntıdan bahsedilmedi. E-posta yazar(lar)ı, önceden çok az katılımı olmasına rağmen OpenJS’in kendilerini projenin yeni koruyucusu olarak atamasını istedi.”
OpenJS ekibi ayrıca OpenJS Vakfı tarafından barındırılmayan iki popüler JavaScript projesinde de benzer şüpheli bir model tespit etti.
Karmaşık bir sorun
XZ arka kapısının yakın zamanda tesadüfen keşfedilmesi, açık kaynak ekosistemini sarstı.
Ve ilk çabalar çoğunlukla hangi Linux dağıtımlarının sonuçlanmış olabileceğini bulmaya, “Jia Tan”ın potansiyel olarak kötü niyetli taahhütlerini araştırmaya ve bu çevrimiçi kişiliğin arkasında kimin olabileceğine dair ipuçları aramaya yoğunlaşmış olsa da, daha derin bir şeyin olduğu hemen belli oldu. Açık kaynak projelerinin güvenliğinin nasıl sağlanacağına dair konuşmalar yaklaşıyordu.
OSS güvenlik zincirindeki en zayıf halkalardan biri, birçok modern açık kaynak ve kapalı kaynak/özel teklifin bağlı olduğu açık kaynak projeler üzerinde çalışan az sayıdaki güvenilir geliştiricidir.
“Tüm OSS projelerinin %25’inin tek bir bakımcıya sahip olduğu ve %94’ünün 10’dan az bakımcıya sahip olduğu tahmin ediliyor. Bu, birçok projenin muhtemelen yardıma ihtiyacı olduğu anlamına geliyor, dolayısıyla saldırganlar, yasal paketleri tehlikeye atmak için bakımcıların psikolojik ve sosyal yönlerinden yararlanabilirler. ve projeler,” diye yorumladı Endor Labs güvenlik baş danışmanı ve CISA Siber İnovasyon Uzmanı Chris Hughes.
“Birçok durumda saldırganların ne zaman başarılı olduklarını ve projelere veya bileşenlere kötü amaçlı kod enjekte ettiklerini dikkatli bir inceleme yapmadan belirlemek de zordur. Çoğu kuruluş, kullandıkları ve yazılımlarına entegre ettikleri bileşenler ve projeler üzerinde bu düzeyde bir durum tespiti yapmamaktadır; ayrıca, ürün satıcılarının hangi bileşenleri ürünlere entegre ettiği ve hangi bileşenlerin bu tür tehditlere karşı tehlikeye açık veya savunmasız olabileceği konusunda şeffaflık eksikliğinden bahsetmiyoruz bile. saldırıyor.”
OpenJS Vakfı İcra Direktörü Robin Bender Ginn ve Açık Kaynak Güvenliği (OSS) Vakfı Genel Müdürü Omkhar Arasaratnam, istikrarlı ve güvenli bir açık kaynak projesini sürdürme baskısının bakımcılar üzerinde onları kolayca bunaltabilecek bir baskı yarattığını belirtti.
Ayrıca sorunun çözümünün karmaşık olduğuna da dikkat çektiler. Linux Vakfı vakıf ailesi ve benzer kuruluşlar, açık kaynak proje yöneticilerine/ekiplerine iş, pazarlama, hukuk ve operasyon sorunları konusunda yardımcı olabileceğini ve güvenlik sorunları konusunda teknik yardım sağlayabileceğini belirtti.
Açık kaynaklı projelerin özel finansmanını artırmak için, Almanya’nın Sovereign Tech Fund gibi kritik açık kaynak altyapısına yapılan yatırımların başkaları tarafından takip edilmesi gerekiyor.
Daha önce CISA, açık kaynaklı yazılımlardan kâr elde eden her teknoloji üreticisini, finansal olarak veya geliştirici zamanı yoluyla, “açık kaynaklı projelerin tükenmişliğe karşı dirençli, sağlıklı ve çeşitli bakımcı topluluklarına sahip olduğu sürdürülebilir bir ekosistem sağlamak için” katkıda bulunmaya çağırmıştı.
Kötü niyetli açık kaynaklı proje devralma girişimlerine karşı dikkatli olun!
Ancak daha hızlı bir şekilde şüpheli etkinlikle ilgili ayrıntıların kamuya açık olarak paylaşılması, açık kaynak bakımcılarını bunun gibi sosyal mühendislik saldırılarına karşı güçlendirebilir.
Topluluğun görece bilinmeyen üyeleri tarafından bakıcıların ısrarlı takibinden (muhtemelen çorap kuklası hesapları), yeni veya bilinmeyen kişileri bakıcı statüsüne yükseltme taleplerinden ve (yanlış) bir aciliyet duygusu yaratan taleplerden şüphelenin.
Yapıt olarak blob’lar içeren ve karmaşık, anlaşılması zor kaynak kodları içeren çekme istekleri dikkatle incelenmelidir.
OpenJS ve OpenSSF Temelleri ayrıca açık kaynak bakımcılarını kimlik doğrulama, güvenlik açıklarının koordineli olarak ifşa edilmesi, yeni kodun birleştirilmesi vb. ile ilgili bir dizi en iyi güvenlik uygulamasını uygulamaya çağırdı.
Hughes, OpenSSF’nin bazı sağlam önerilerde bulunmasına rağmen (örneğin, sorumlularınızı ve bakımcılarınızı tanımak), insanların takma adlar ve kısa açıklamalarla çalışmasının yaygın olduğunu, dolayısıyla kötü niyetli aktörleri meşru OSS katılımcıları ve meraklılarından ayırmanın zor olabileceğini belirtti.
“Bu, özellikle uzun bir oyun oynadıkları ve uzun bir süre boyunca meşru kod katkıları ve faaliyetleri gerçekleştirdikleri durumlarda, itibar ve sosyal sermaye oluşturmak için kötü niyetli faaliyetlerini gerçekleştirdikleri zaman tespit edilmesini zorlaştırdıkları durumlarda geçerlidir.” ekledi ve daha da büyük bir soruna dikkat çekti: OSS ekosisteminin şeffaflığı.
“Modern dijital altyapının tamamını çalıştıran bileşenler ve projeler genellikle bilinmeyen takma adlar ve dünyanın dört bir yanına dağılmış kişiler tarafından sürdürülüyor.”
O’Reilly Media İçerik Stratejisi Başkan Yardımcısı Mike Loukides, XZ Utils projesinin devralınmasının, birçok açık kaynak projesinin kötü niyetli davranışları tolere etmesiyle kolaylaştırıldığını, bunun da saldırganın bakımcıyı bozuk bir saniyeyi kabul etmesi konusunda kışkırtmasına olanak tanıdığını belirtti. bakıcı.
“Bu daha önce oldu mu? Kimse bilmiyor (henüz). Tekrar olacak mı? Bir zamanlar çalışmaya bu kadar yaklaştığı göz önüne alındığında, neredeyse kesinlikle. Potansiyel bakıcıların taranması gibi çözümler asıl soruna değinmiyor. Saldırganların uyguladığı baskı ancak bu tür istismarların kabul edilmesiyle mümkün oldu” dedi.