Bir gönüllü, arka kapının dünyanın her yerindeki Linux sistemlerini açığa çıkarmasını nasıl engelledi?

Dünyanın en yaygın kullanılan açık kaynaklı işletim sistemi olan Linux, Paskalya haftasonunda büyük bir siber saldırıdan kıl payı kurtuldu; hepsi de bir gönüllü sayesinde oldu.

Arka kapı, Linux dünyası dışında çok az bilinen ancak hemen hemen her Linux dağıtımında büyük dosyaları sıkıştırmak ve bunların aktarımını kolaylaştırmak için kullanılan bir araç olan XZ Utils adı verilen Linux sıkıştırma formatının yeni bir sürümüne dahil edilmiştir. Virüs daha geniş bir alana yayılmış olsaydı, sayısız sistem yıllarca savunmasız kalabilirdi.

Ve benzeri Ars Teknik fark edildi Kapsamlı özetFail, halkın önünde proje üzerinde çalışıyordu.

Linux uzaktan oturum açma işleminde ortaya çıkan güvenlik açığı, kendisini yalnızca tek bir anahtara maruz bırakıyor ve böylece genel bilgisayar taramalarından gizlenebiliyor. beğenmek Ben Thompson yazıyor Strachry. “Dünyadaki bilgisayarların çoğunluğu savunmasız olacak ve bunu kimse bilmeyecek.”

XZ arka kapısının keşfedilme hikayesi, San Francisco merkezli Microsoft geliştiricisi Anders Freund'un Mastodon ve Bir e-posta gönderdim OpenWall güvenlik posta listesine şu başlıkla: “xz/liblzma yukarı akış arka kapısı ssh sunucusunun tehlikeye girmesine yol açıyor.”

Linux tabanlı bir veritabanı olan PostgreSQL'de gönüllü olarak “süpervizör” olarak çalışan Freund, son birkaç haftadır testleri yürütürken bazı tuhaf şeyler fark etti. XZ sıkıştırma kütüphanesinin bir parçası olan liblzma'ya şifreli girişler önemli miktarda CPU tüketiyordu. Freund, Mastodon'da şunları yazdı: “Kullandığı performans araçlarının hiçbiri bir şey ortaya çıkarmadı.” Bu durum hemen şüphelerini uyandırdı ve birkaç hafta önce bir Postgres kullanıcısının, bellek hatalarını kontrol eden bir Linux programı olan Valgrind hakkında “tuhaf bir şikayetini” hatırladı.

Biraz araştırma yaptıktan sonra Freund sonunda neyin yanlış olduğunu keşfetti. Freund e-postasında “XZ Warehouse ve XZ Tar Balls tekrar kapandı” dedi. Kötü amaçlı kod, xz araçlarının ve kitaplıklarının 5.6.0 ve 5.6.1 sürümlerinde mevcuttu.

Kısa bir süre sonra açık kaynak yazılım şirketi Red Hat bir mesaj gönderdi Acil durum güvenlik uyarısı Fedora Rawhide ve Fedora Linux 40 kullanıcıları için Sonuçta şirket, Fedora Linux 40 beta sürümünün xz kitaplıklarının etkilenen iki sürümünü içerdiği sonucuna vardı. Fedora Rawhide sürümlerinin de 5.6.0 veya 5.6.1 sürümlerini almış olması mümkündür.

Lütfen herhangi bir FEDORA RAWHIDE ürününü iş veya kişisel faaliyetleriniz için kullanmayı derhal bırakın. Fedora Rawhide yakında xz-5.4.x'e geri alınacak ve bu işlem tamamlandıktan sonra Fedora Rawhide bulut sunucuları güvenli bir şekilde yeniden konuşlandırılabilecek.

Ücretsiz bir Linux dağıtımı olan Debian'ın beta sürümü, güvenlik ekibi tarafından ele geçirilen paketler içermesine rağmen Hızlı davrandım Onlara dönmek için. Debian'dan Salvatore Bonaccorso Cuma akşamı kullanıcılara yönelik bir güvenlik uyarısında “Şu anda Debian'ın hiçbir kararlı sürümü etkilenmedi” diye yazdı.

Freund daha sonra kötü amaçlı kodu gönderen kişinin JiaT75 veya Jia Tan olarak bilinen iki lider xz Utils geliştiricisinden biri olduğunu belirledi. “Faaliyetin birkaç haftadır devam ettiği göz önüne alındığında, fail ya doğrudan işin içindeydi ya da sistemlerinde ciddi bir tehlike vardı. Ne yazık ki, 'düzeltmelere ilişkin farklı listelerde konuştukları göz önüne alındığında ikincisi en az muhtemel açıklama gibi görünüyor' ' Yukarıda bahsedilmişti,” diye yazdı Freund kitabında. analizJiaT75 tarafından yapılan çeşitli çözümleri birbirine bağladıktan sonra.

JiaT75 tanıdık bir isimdi: Bir süre .xz dosya formatının orijinal geliştiricisi Lasse Collin ile birlikte çalışmışlardı. Programcı Ross Cox'un kitabında belirttiği gibi masa saatiJiaT75, Ekim 2021'de XZ posta listesine görünüşte meşru yamalar göndermeye başladı.

Planın diğer kolları da birkaç ay sonra ortaya çıktı; diğer iki kimlik, Jigar Kumar ve Dennis İnce, Şikayetler e-posta yoluyla gönderilmeye başlandı Colin'e projenin hataları ve yavaş gelişimi hakkında. Ancak raporlarda belirtildiği gibi Evan Buhs Diğerleri, “Kumar” ve “Ins”, XZ topluluğunun dışında hiç görülmedi; bu da araştırmacıların, her ikisinin de yalnızca Jia Tan'ın arka kapı kodunu iletmek üzere konumuna erişmesine yardımcı olmak için var olan sahte kişiler olduğuna inanmalarına yol açtı.

İnce bir mesajında ​​şunları yazdı: “Akıl sağlığı sorunlarınız için üzgünüm ancak sınırlarınızın farkında olmanız önemli. Bunun tüm katkıda bulunanlar için bir hobi projesi olduğunun farkındayım, ancak topluluk daha fazlasını istiyor.” bir diğeri: “Yeni bir yönetici gelene kadar ilerleme olmayacak.”

Collins, karşılıklı konuşmaların ortasında şöyle yazdı: “İlgimi kaybetmedim ama bakım yeteneğim, uzun vadeli akıl sağlığı sorunları ve aynı zamanda başka şeyler nedeniyle bir şekilde sınırlıydı.” ve Jia Tan'ın daha büyük bir rol üstlenmesini önerdi. “Bunun ücretsiz bir hobi projesi olduğunu da akılda tutmakta fayda var” diye sözlerini tamamladı. Kumar ve Ens'ten gelen e-postalar, değişiklikler yapabilmek ve arka kapı paketini Linux dağıtımlarına daha fazla yetkiyle tanıtabilmek için Tan'ın moderatör olarak ekleninceye kadar devam etti.

Xz arka kapı olayı ve sonrası, açık kaynağın güzelliğine ve İnternet altyapısındaki inanılmaz güvenlik açığına bir örnektir.

Popüler bir açık kaynaklı medya paketi olan FFmpeg'in geliştiricisi, sorunu vurguladı Bir tweet'te“Xz fiyaskosu, ücretsiz gönüllülere güvenmenin nasıl büyük sorunlara yol açabileceğini gösterdi. Trilyon dolarlık şirketler, gönüllülerden ücretsiz, acil destek bekliyor. Microsoft Teams'i etkileyen 'yüksek öncelikli' bir hatayı nasıl çözdüklerini gösteren makbuzları getirdiler.

Microsoft'un yazılımına olan güvenine rağmen geliştirici şunları yazdı: “Microsoft'tan uzun vadeli bakım için kibarca bir destek sözleşmesi talep ettikten sonra, bunun yerine tek seferlik birkaç bin dolarlık ödeme teklif ettiler… Bakım ve sürdürülebilirliğe yapılan yatırımlar çekici değil ve orta düzey bir yönetici muhtemelen bunu alamayacaktır.” Terfisi için ona yıllar boyunca binlerce kez bile ödeme yapacaktır.

JiaT75'in arkasında kimin olduğuna, planlarının nasıl uygulanacağına ve hasarın boyutuna ilişkin ayrıntılar, geliştiriciler ve siber güvenlik uzmanlarından oluşan bir ordu tarafından hem sosyal medyada hem de çevrimiçi forumlarda ortaya çıkarıldı. Ancak bu, güvenli yazılım kullanma olanağından yararlanan birçok şirket ve kuruluşun doğrudan mali desteği olmadan gerçekleşir.