A yeni keşfedilen arka kapı Neredeyse tüm Linux dağıtımlarında bulunan bir veri sıkıştırma aracı olan XZ Utils, Log4Shell güvenlik açığı ve SolarWinds saldırısı gibi önceki büyük yazılım tedarik zinciri güvenlik korkularının hayaletlerini yeniden canlandırdı.
Arka kapı, liblzma adı verilen bir XZ kütüphanesine yerleştirilmiş ve uzaktaki saldırganlara güvenli kabuk (sshd) kimlik doğrulamasını atlayıp etkilenen sisteme tam erişim sağlamanın bir yolunu sunuyor. Koda bakımcı düzeyinde erişimi olan bir kişinin, özenle yürütülen, çok yıllı bir saldırıyla arka kapıyı kasıtlı olarak devreye soktuğu görülüyor.
Arka kapı, yardımcı programın şu anda yalnızca Fedora, Debian, Kali, açık SUSE ve Arch Linux’un kararsız ve beta sürümlerinde kullanılan sürümleri olan XZ Utils 5.6.0 ve 5.6.1’i etkiliyor. Sonuç olarak, bu arka kapının potansiyel tehdidi şimdilik, kötü amaçlı yazılımın kararlı bir Linux dağıtımına girme yolunu bulması durumuna göre çok daha sınırlıdır.
Buna rağmen birisinin güvenilir, yaygın olarak kullanılan bir açık kaynak bileşenine neredeyse tespit edilemeyen bir arka kapıyı gizlice sokmayı başarması ve bunun yol açabileceği potansiyel hasar, kuruluşların tedarik yoluyla yapılan saldırılara karşı ne kadar savunmasız kaldığı konusunda acı verici bir uyandırma çağrısı olarak geldi. zincir.
“XZ Utils güvenilir ve incelenen bir proje olarak görüldüğünden, bu tedarik zinciri saldırısı OSS topluluğu için bir şok oldu.” JFrog araştırmacıları bir blog yazısında şunları söyledi:. “Saldırgan, birkaç yıl boyunca bir OSS geliştiricisi olarak güvenilir bir itibar kazandı ve kod incelemeleri tarafından tespit edilmekten kaçınmak için oldukça karmaşık kod kullandı.”
XZ Kullanımı Linux ve diğer Unix benzeri işletim sistemlerindeki verileri sıkıştırmak ve açmak için kullanılan bir komut satırı yardımcı programıdır. Microsoft geliştiricisi Andres Freund, son haftalarda bazı Debian kurulumlarında liblzma ile ilgili tuhaf davranışları araştırırken yazılımdaki arka kapıyı keşfetti. Başlangıçta arka kapının tamamen bir Debian sorunu olduğunu düşünen Freund, sorunun aslında yukarı akışlı XZ deposunu ve ilgili tarball’ları veya arşiv dosyalarını etkilediğini keşfetti. O halka açık Tehdidi 29 Mart’ta açıkladı.
Hafta sonu boyunca ilgili güvenlik ekipleri Fedora, Debian, openSUSE, kali, Ve Kemer Etkilenen Linux sürümlerini çalıştıran kuruluşları, uzaktan kod yürütmenin olası riskini azaltmak için yazılımlarının daha önceki, daha kararlı sürümlerine hemen geri dönmeleri konusunda uyaran acil uyarılar yayınladı.
Maksimum Önem Derecesi Vuln’u
Fedora’nın ana sponsoru ve katkıda bulunanı Red Hat, arka kapıya bir güvenlik açığı tanımlayıcısı atadı (CVE-2024-3094) ve tehdide dikkat çekmek için bunu maksimum şiddet riski (CVSS puanı 10) olarak değerlendirdi. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), etkilenen Linux dağıtımlarını kullanan kuruluşlara çağrıda bulunan seslerin korosuna katıldı. XZ Utils’in sürümünü düşürün daha önceki bir sürüme geçmek ve arka kapıyla ilgili olası etkinlikleri araştırmak ve bu tür bulguları kuruma bildirmek.
Önerilerin tümü, kullanıcılara kodlarında arka kapılı XZ sürümlerinin varlığını hızlı bir şekilde nasıl kontrol edebilecekleri konusunda ipuçları sunuyordu. Red Hat, XZ’yi önceki sürümlere döndüren bir güncelleme yayınladı ve şirket bunu normal güncelleme süreciyle kullanıma sunacak. Ancak şirket, potansiyel saldırılardan endişe duyan kullanıcıların, güncellemenin normal süreç yoluyla kullanılabilir olmasını beklemek istemezlerse güncellemeyi zorlayabileceklerini söyledi.
Bugün Binarly ücretsiz bir araç yayınladı kuruluşlar arka kapılı XZ’leri aramak için de kullanabilirler.
Tenable’da personel araştırma mühendisi olan Scott Caveza, “Bu kötü amaçlı kod birden fazla Linux dağıtımındaki kararlı işletim sistemi sürümlerine uygulanmış olsaydı, kullanımın toplu halde olduğunu görebilirdik” diyor. “Bu durum ne kadar uzun süre fark edilmezse, bu kötü niyetli aktör kim olursa olsun, daha fazla kötü amaçlı kod gelme potansiyeli o kadar artar.”
Bir SSS’de, Tenable arka kapıyı anlattı liblzma içindeki işlevleri, saldırganların kitaplık içindeki verilere müdahale etmesine ve değiştirmesine izin verecek şekilde değiştirmek. Araştırmacılar, “Freund’un gözlemlediği örnekte, belirli koşullar altında bu arka kapı, kötü niyetli bir aktörün ‘sshd kimlik doğrulamasını kırmasına’ ve saldırganın etkilenen bir sisteme erişmesine olanak tanıyabileceğini” belirtti.
XZ, Arka Kapının Arkasında “Bakıcı”yı Kullanıyor
Arka kapıyı özellikle sorunlu hale getiren şey, XZ Util’in bakımcısına ait bir hesabı kullanan birinin, dikkatlice planlanmış, çok yıllı bir operasyon gibi görünen bir işlemle kötü amaçlı yazılımı pakete yerleştirmesidir. İçinde yaygın olarak başvurulan blog yazısı, Güvenlik araştırmacısı Evan Boehs, kötü niyetli etkinliğin izini, Jia Tan adını kullanan bir kişinin GitHub hesabı oluşturduğu ve neredeyse anında bazı açık kaynak projelerinde şüpheli değişiklikler yapmaya başladığı 2021 yılına kadar takip etti.
Blog yazısı, Jia Tan ve diğer birkaç kişinin XZ topluluğu içinde yazılımda değişiklikler yapmak ve sonunda arka kapıyı tanıtmak için yavaş yavaş yeterli güveni oluşturmak için attığı adımların ayrıntılı bir zaman çizelgesini sunuyor.
Boehs, Dark Reading’e “Bütün kanıtlar, sosyal manipülasyonun tek amacı arka kapı açmak olan bir kişi tarafından kullanıldığına işaret ediyor” dedi. “Temel olarak, projeyi sürdürmek için hiçbir zaman gerçek bir çaba gösterilmedi, sadece projeyi projeye dahil edecek kadar güven kazanmak için [the backdoor] sessizce.”
Tipik olarak, bir depoya taahhüt erişimi sağlamak, bireyin bir güvenilirlik duygusu oluşturmasını gerektirir. Boehs, çoğu zaman projelerin bireylere yeni taahhüt erişimini ancak ihtiyaç duyulduğunda ve bazı risk değerlendirmelerinin ardından sağladığını söylüyor.
“Bu durumda Jia bir [seemingly] daha fazla bakımcıya duyulan meşru ihtiyaç… ve ardından güven oluşturmaya başladı. Toplumumuz güven üzerine kuruludur ve bazen bazı kurnaz insanlar bunu istismar eder” diye belirtiyor. “İzin almak güven gerektirir. Güvenin oluşması zaman alır. Jia bu uzun oyun boyunca işin içindeydi.”
Boehs, Jia Tan’ın tam olarak ne zaman veri deposunun güvenilir bir üyesi haline geldiğinin belirsiz olduğunu söylüyor. Ancak 2022’deki ilk taahhüdünün hemen ardından Jia Tan, düzenli olarak katkıda bulunan biri haline geldi ve şu anda projedeki en aktif ikinci kişi. GitHub o zamandan beri Jia Tan’ın hesabını askıya aldı.
Qualys’in mühendislikten sorumlu başkan yardımcısı Saumitra Das, XZ Util’de yaşananların başka yerlerde de olabileceğini söylüyor.
Das, “Açık kaynaktaki pek çok kritik kütüphanenin bakımı, para ödenmeyen ve kişisel sorunları nedeniyle baskı altında olabilen topluluktaki gönüllüler tarafından sağlanıyor” diyor.
Baskı altındaki bakımcılar genellikle projelerine az da olsa zaman ayırmaya istekli olan katkıda bulunanları memnuniyetle karşılarlar. XZ Utils’te olduğu gibi “Zamanla bu kişiler kod üzerinde daha fazla kontrol sahibi olabilir” diyor.
