Dünyanın en yaygın kullanılan açık kaynaklı işletim sistemi olan Linux, bir gönüllü sayesinde Paskalya haftasonunda büyük bir siber saldırıdan kıl payı kurtuldu.
Arka kapı, XZ Utils adı verilen bir Linux sıkıştırma formatının yakın zamanda piyasaya sürülen bir sürümüne yerleştirilmişti; bu araç, Linux dünyası dışında az bilinen ancak neredeyse her Linux dağıtımında büyük dosyaları sıkıştırmak ve aktarımlarını kolaylaştırmak için kullanılan bir araçtır. Eğer daha geniş bir alana yayılmış olsaydı, sayısız sistemin güvenliği yıllarca tehlikeye girebilirdi.
Ve benzeri Ars Teknik kendisinde belirtilen kapsamlı özetsuçlu proje üzerinde açıkta çalışıyordu.
Linux’un uzaktan oturum açma sistemine eklenen güvenlik açığı, kendisini yalnızca tek bir anahtara maruz bırakıyor, böylece halka açık bilgisayarların taramalarından gizlenebiliyor. Gibi Ben Thompson yazıyor Stratejiklik. “Dünyadaki bilgisayarların çoğunluğu savunmasız olacak ve kimse bunu bilmeyecek.”
XZ arka kapısının keşfinin hikayesi, San Francisco merkezli Microsoft geliştiricisi Andres Freund’un Mastodon ve bir e-posta gönderdi OpenWall’un güvenlik posta listesine şu başlıkla bakın: “yukarı akış xz/liblzma’da ssh sunucusunun tehlikeye girmesine yol açan arka kapı.”
Linux tabanlı bir veritabanı olan PostgreSQL’in “bakıcısı” olarak gönüllü olarak çalışan Freund, son birkaç hafta içinde testleri yürütürken birkaç tuhaf şey fark etti. XZ sıkıştırma kütüphanesinin bir parçası olan liblzma’ya şifreli girişler tonlarca CPU kullanıyordu. Freund, Mastodon’da kullandığı performans araçlarının hiçbirinin bir şey ortaya çıkarmadığını yazdı. Bu onu hemen şüpheye düşürdü ve birkaç hafta önce bir Postgres kullanıcısının, Linux’un bellek hatalarını kontrol eden programı Valgrind hakkında “tuhaf bir şikayetini” hatırladı.
Biraz hafiyelik yaptıktan sonra Freund sonunda neyin yanlış olduğunu keşfetti. Freund e-postasında “Yukarı akış xz deposu ve xz tarball’ları arka kapıyla kapatılmıştır” dedi. Kötü amaçlı kod, xz araçlarının ve kitaplıklarının 5.6.0 ve 5.6.1 sürümlerinde bulunuyordu.
Kısa bir süre sonra kurumsal açık kaynak yazılım şirketi Red Hat, bir acil güvenlik uyarısı Fedora Rawhide ve Fedora Linux 40 kullanıcıları için. Sonuçta şirket, Fedora Linux 40’ın beta sürümünün xz kitaplıklarının etkilenen iki sürümünü içerdiği sonucuna vardı. Fedora Rawhide sürümleri muhtemelen 5.6.0 veya 5.6.1 sürümlerini de almıştır.
LÜTFEN HERHANGİ BİR FEDORA RAWHIDE ÖRNEĞİNİN iş veya kişisel etkinlik amacıyla KULLANILMASINI DERHAL DURDURUN. Fedora Rawhide kısa süre içinde xz-5.4.x’e döndürülecek ve bu işlem tamamlandıktan sonra Fedora Rawhide bulut sunucuları güvenli bir şekilde yeniden konuşlandırılabilecek.
Ücretsiz Linux dağıtımı olan Debian’ın beta sürümü, güvenliği ihlal edilmiş paketler içermesine rağmen, güvenlik ekibi hızlı hareket etti onları geri döndürmek için. Debian’dan Salvatore Bonaccorso, Cuma akşamı kullanıcılara yönelik bir güvenlik uyarısında “Şu anda hiçbir Debian kararlı sürümünün etkilendiği bilinmiyor” diye yazdı.
Freund daha sonra kötü amaçlı kodu gönderen kişinin JiaT75 veya Jia Tan olarak bilinen iki ana xz Utils geliştiricisinden biri olduğunu belirledi. “Birkaç haftayı aşan faaliyet göz önüne alındığında, taahhüt eden kişi ya doğrudan işin içindedir ya da sistemlerinde oldukça ciddi bir tehlike söz konusudur. Ne yazık ki ikincisi, yukarıda bahsedilen “düzeltmeler” hakkında çeşitli listelerde iletişim kurdukları göz önüne alındığında, daha az olası bir açıklama gibi görünüyor, diye yazdı Freund. analizJiaT75 tarafından yapılan birkaç geçici çözümü bağladıktan sonra.
JiaT75 tanıdık bir isimdi: Bir süre .xz dosya formatının orijinal geliştiricisi Lasse Collin ile yan yana çalışmışlardı. Programcı Russ Cox’un belirttiği gibi zaman çizelgesiJiaT75, Ekim 2021’de XZ posta listesine görünüşte meşru yamalar göndererek işe başladı.
Planın diğer kolları birkaç ay sonra ortaya çıktı; diğer iki kimlik, Jigar Kumar ve Dennis Ens, şikayetleri e-postayla göndermeye başladı Hatalar ve projenin yavaş gelişimi hakkında Collin’e. Ancak raporlarda belirtildiği gibi Evan Boehs ve diğerleri, “Kumar” ve “Ens” hiçbir zaman XZ topluluğunun dışında görülmemişti; bu da araştırmacıların her ikisinin de yalnızca Jia Tan’ın arka kapılı kodu teslim edecek konuma gelmesine yardımcı olmak için var olan sahte olduğuna inanmasına yol açtı.
“Akıl sağlığı sorunlarınız için üzgünüm ama kendi sınırlarınızın farkında olmanız önemli. Bunun tüm katkıda bulunanlar için bir hobi projesi olduğunu anlıyorum, ancak topluluk daha fazlasını istiyor,” diye yazdı Ens bir mesajında, Kumar ise bir başka mesajında ”Yeni bir bakımcı bulunana kadar ilerleme olmayacak” dedi.
Bu ileri geri gidişin ortasında Collins, “İlgimi kaybetmedim ama bakım yeteneğim çoğunlukla uzun vadeli akıl sağlığı sorunları ve aynı zamanda başka şeyler nedeniyle oldukça sınırlıydı” diye yazdı ve Jia Tan’ın bu konuyu ele almasını önerdi. daha büyük bir rolde. “Bunun ücretsiz bir hobi projesi olduğunu da akılda tutmakta fayda var” diye sözlerini tamamladı. “Kumar” ve “Ens”ten gelen e-postalar, Tan’ın aynı yıl bakımcı olarak eklenmesine, değişiklikler yapmasına ve arka kapılı paketi Linux dağıtımlarına daha fazla yetkiyle sokma girişimine kadar devam etti.
Xz arka kapı olayı ve sonrası, hem açık kaynağın güzelliğine hem de internet altyapısındaki çarpıcı güvenlik açığına bir örnektir.
Popüler bir açık kaynaklı medya paketi olan FFmpeg’in arkasındaki geliştirici, sorunun altını çizdi bir tweet’te, “Xz fiyaskosu, ücretsiz gönüllülere bağımlılığın ne kadar büyük sorunlara yol açabileceğini gösterdi. Trilyon dolarlık şirketler gönüllülerden ücretsiz ve acil destek bekliyor.” Ve Microsoft Teams’i etkileyen “yüksek öncelikli” bir hatayla nasıl başa çıktıklarını gösteren makbuzları da getirdiler.
Microsoft’un yazılımına olan bağımlılığına rağmen geliştirici şöyle yazıyor: “Microsoft’tan uzun vadeli bakım için kibarca bir destek sözleşmesi talep ettikten sonra, bunun yerine tek seferlik birkaç bin dolarlık ödeme teklif ettiler… bakım ve sürdürülebilirliğe yapılan yatırımlar pek çekici değil ve muhtemelen bir orta düzey yöneticiye terfi alamayacak, ancak uzun yıllar boyunca bunun karşılığını bin kat ödeyecek.”
“JiaT75’in arkasında kimin olduğuna”, planlarını nasıl uyguladıklarına ve hasarın boyutuna ilişkin ayrıntılar, geliştiriciler ve siber güvenlik uzmanlarından oluşan bir ordu tarafından hem sosyal medyada hem de çevrimiçi forumlarda gün yüzüne çıkarılıyor. Ancak bu, güvenli yazılım kullanma olanağından yararlanan birçok şirket ve kuruluşun doğrudan mali desteği olmadan gerçekleşir.