Güvenlik uzmanı için yılın en ilginç hack’i Alex StamosSentinel One firması ile Stanford Üniversitesi arasında paylaşılan sektördeki bir rakam. Pek çok Linux dağıtımında bulunan ücretsiz yazılım olan XZ Utils dosya sıkıştırma yardımcı programındaki arka kapı olayı gerçekten de özellikle ilgi çekicidir.
Her şey geçen haftanın sonunda başladı. İçinde genel mesaj döngüsüAndres Freund şaşkınlığını dile getiriyor. Bir kitaplıkta beklenmeyen bir davranış gözlemledikten sonra bu Microsoft mühendisi, özgür yazılım topluluğuna XZ Utils’e şüpheli bir kod eklendiğini bildirdi.
Kendisinin de şüphelendiği gibi, bu aslında 5.6.0 sürümünden itibaren tanıtılan bir arka kapıdır; bu kusurlar, bilgi sistemlerini tehlikeye atmak için kasıtlı olarak bırakılmıştır. Artık adı altında sınıflandırılmıştır CVE-2024-3094.
Yetkisiz Erişim
XZ Utils’in bu kötü amaçlı sürümünün SSH kimlik doğrulamasına müdahale ettiği hatırlatılıyor Kırmızı şapka, iki makinenin birbiriyle iletişim kurmasını sağlayan bu güvenli tünel. Açık kaynak uzmanı, “Doğru koşullar altında, bu müdahale potansiyel olarak kötü niyetli bir kişinin tüm sisteme uzaktan yetkisiz erişim sağlamasına olanak tanıyabilir” diye belirtiyor.
Siber güvenlik uzmanı, gerçek bir Truva atı özetliyor Kevin Beaumont. “Bu kadar yaygın olarak kullanılan bir kütüphanede, bu güvenlik açığının ciddiyeti tüm Linux ekosistemi için bir tehdit oluşturuyor” dediler. Kali dağıtımının editörleri.
Neyse ki bu arka kapının şans eseri keşfedilmesi oldukça erken olmuş gibi görünüyor. Örneğin hiçbiri Debian’ın kararlı sürümü etkilenmez, programın kötü amaçlı sürümü henüz entegre değildir. Belirtildiği gibi Ars TeknikXZ Utils’in kötü amaçlı sürümü, görünüşe göre bu ücretsiz yazılımın iki ana geliştiricisinden biri olan ve yaklaşık iki yıllık bir uygulamanın sorumlusu olan belirli bir JiaT75 tarafından 23 Şubat’ta yapılan bir güncellemeyle tanıtıldı.
Gelişmiş saldırı
Andres Freund, ya “arka kapıdan ikincisi sorumludur ya da sistemi ciddi şekilde tehlikeye girmiştir” diye özetliyor. En son güncellemelerde yer alan sözde düzeltmelerle ilgili çeşitli listelerdeki iletişim nedeniyle “Maalesef ikinci açıklama en az olası görünüyor” diye ekliyor.
Ancak bilgisayar güvenliği uzmanlarına göre, saldırının karmaşıklığı (arka kapının kurulmasından iki yıl öncesine kadar sabırlı bir şekilde sızma) daha ziyade bir devlet kurumunun ya da “tedarik zinciri saldırıları” ile ilgili böyle bir eylemi planlayabilen kuruluşların pençesini taşıyor. .
Saldırının faillerinin kimliği ne olursa olsun, bu durum, özgür yazılımın bu tür suiistimallerin kurbanı olabileceğini hatırlatıyor; bu risk, topluluk gözetimi ile dengeleniyor. Alex Stamos, “Açık kaynaktan yararlanan şirketlerin arka kapıları bulmaya ciddi yatırım yapması gerekiyor” diye uyardı.