Şaşırtıcı bir açıklama, xz sıkıştırma yardımcı programında, özellikle de liblzma kütüphanesinde tehlikeli bir güvenlik açığı tespit etti. Bu güvenlik açığının SSH sunucu güvenliğini tehlikeye attığı tespit edildi.
Xz Utils, Linux'un hemen hemen her yerinde bulunan bir araçtır. Linux benzeri hemen hemen tüm sistemlerde hiçbir bilgi kaybı olmadan verilerin küçültülmesine yardımcı olur.
Çeşitli görevler sırasında verileri küçültmek veya orijinal boyutuna döndürmek için önemlidir. Xz Utils eski .lzma formatıyla da çalışabilir, bu da onu daha da kullanışlı kılar.
Yukarı akış xz deposundaki bir arka kapıdan kaynaklanan sorun, ilk olarak SSH oturum açma sırasında aşırı CPU kullanımı ve bellek hatası algılayıcısı Valgrind tarafından bildirilen hatalar da dahil olmak üzere Debian sid kurulumlarındaki olağandışı sistem davranışı nedeniyle fark edildi.
Arka Kapının Keşfi
Güvenlik uzmanı Andres Freund liderliğindeki soruşturma, arka kapının Debian paketiyle sınırlı olmadığını, aslında 5.6.0 ve 5.6.1 sürümleri için yukarı akışlı xz tarball'larında mevcut olduğunu ortaya çıkardı.
Bu kötü amaçlı kod, depodaki kaynak kodunda değil, dağıtılmış tarball'ların içinde ustaca gizlenmişti, bu da onu özellikle sinsi hale getiriyordu.
Arka kapı, derleme sürecine gizlenmiş bir komut dosyası enjekte ederek çalışır ve bu komut dosyası, görünüşte zararsız test dosyalarının içinde gizlenmiş bir veriyi çalıştıracak şekilde Makefile'ı değiştirir.
Bu veri, yürütüldükten sonra SSH sunucusunun davranışını değiştirebilir, SSH oturum açma işlemlerini önemli ölçüde yavaşlatabilir ve potansiyel olarak yetkisiz erişime izin verebilir.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kapsam ve Etki
Güvenlik açığı açıkça GCC ve GNU bağlayıcı ile oluşturulmuş x86-64 Linux sistemlerini hedef alıyor ve Debian veya RPM paketlerinin oluşturulma süreci gibi yalnızca belirli koşullar altında etkinleştirilerek tespit edilmekten kaçınmak için tasarlanmış gibi görünüyor.
Bu hedefe yönelik yaklaşım, Linux dağıtım yapı sistemlerine ilişkin gelişmiş bir anlayışa ve bu sistemlere fark edilmeden sızmaya yönelik açık bir niyete işaret etmektedir.
Özellikle, arka kapı OpenSSH paketini doğrudan etkilemez ancak çeşitli Linux dağıtımları tarafından openSSH'ye yamalanan alt sistemin tehlikeye atılmış liblzma'ya dayandığı bir bağımlılık zincirinden yararlanır.
Bu dolaylı saldırı vektörü, modern yazılım ekosistemlerindeki karmaşık karşılıklı bağımlılıkları ve tek bir güvenlik açığından kaynaklanan yaygın etki potansiyelini vurgulamaktadır.
Red Hat raporuna göre bu arka kapı yalnızca xz'nin en son dalında (sürüm 5.6 ve 5.6.1) bulunuyor. Hala 5.4 ve daha eski sürümleri çalıştıran kişiler için sorun olmayacaktır.
“Mevcut araştırma, paketlerin yalnızca Red Hat topluluk ekosistemi içindeki Fedora 40 ve Fedora Rawhide'da mevcut olduğunu gösteriyor; Red Hat Enterprise Linux'un (RHEL) hiçbir sürümü etkilenmedi”.
Müdahale ve Etki Azaltma
Bu güvenlik açığının keşfedilmesi, güvenlik topluluğunun derhal harekete geçmesini sağladı.
Red Hat, CVE-2024-3094 sorununu atadı ve etkilenen sistemlere yama uygulamak ve daha fazla kötüye kullanımı önlemek için çalışmalar sürüyor. Sistem yöneticilerinin potansiyel olarak savunmasız kurulumları belirlemesine yardımcı olmak için bir algılama komut dosyası da geliştirilmiştir.
Güvenlik açığının ciddiyeti ve etkilenen sistemlere yetkisiz erişim potansiyeli göz önüne alındığında, potansiyel olarak etkilenen sistemlerin kullanıcılarının ve yöneticilerinin kurulumlarını mümkün olan en kısa sürede yükseltmeleri tavsiye edilir.
Bu arka kapının keşfi, yazılım güvenliğine yönelik süregelen tehditlerin ve kritik altyapının izlenmesi ve güvenliğinin sağlanmasında dikkatli olunması gerektiğinin açık bir hatırlatıcısıdır.
Yaygın olarak kullanılan xz sıkıştırma yardımcı programında bir arka kapının keşfedilmesi, yazılım güvenliğinin kalıcı zorluklarının altını çiziyor.
Saldırganlar karmaşık sızma yöntemleri geliştirdikçe, güvenlik topluluğu güvenlik açıklarını belirleme ve azaltma konusunda dikkatli kalmalıdır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.