XZ-Utils Arka Kapısı Tehlikesi
2024 yılının Mart ayında keşfedilen XZ-Utils arka kapısı, şu anda en az 35 Linux görüntüsünde hâlâ mevcut. Bu durum, kullanıcıları, organizasyonları ve verilerini ciddi bir risk altına sokmaktadır. Özellikle Docker Hub, geliştiricilerin ve organizasyonların önceden oluşturulmuş görüntüleri yükleyip indirdiği resmi bir konteyner görüntüleri kaynağıdır.
CI/CD süreçlerinde, geliştiriciler ve üretim sistemleri genellikle kendi konteynerleri için temel katmanlar oluşturmak amacıyla doğrudan Docker Hub’dan görüntüler çekmektedir. Eğer bu görüntüler tehlikeye girerse, yeni inşa edilen konteynerler de bu zararlı kod veya hatayı miras alır.
Tehditin Ortaya Çıkışı
Binarly araştırmacıları, XZ-Utils arka kapısı tarafından etkilenmiş çok sayıda Docker görüntüsü keşfetmiştir. Binarly’nin raporuna göre, “ilk bakışta bu durumu alarm verici olarak değerlendirmemek mümkün: Eğer dağıtım paketleri arka kapılıysa, bu paketlere dayanan herhangi bir Docker görüntüsü de enfekte olacaktır.”
Ancak daha ciddi bir tehdit, bazı bu türtehlikeli görüntülerin hâlâ Docker Hub üzerinde halka açık olarak bulunmasıdır. Ayrıca, bu enfekte temel görüntülerin üzerinde inşa edilmiş diğer görüntülerin de bulunduğu ve dolaylı olarak enfekte olduğu tespit edilmiştir.
Debian’ın Yanıtı
Binarly, söz konusu görüntüleri Debian gibi arka kapılı görüntüleri sunan tutuluculara bildirmiştir. Fakat Debian, bu görüntüleri çevrimdışı almayı reddetmiştir ve düşük risk ile arşiv devamlılığının önemini vurgulamıştır. Arka kapı, CVE-2024-3094 olarak izlenmektedir ve xz-utils sıkıştırma aracının liblzma.so kütüphanesine gizlenmiş kötü niyetli bir kod olarak ortaya çıkmıştır.
Kötü niyetli kod, OpenSSH içerisindeki RSA_public_decrypt fonksiyonuna glibc’nin IFUNC mekanizması aracılığıyla yerleştirilmiştir. Eğer bir saldırgan, etkilenmiş bir sisteme özel bir özel anahtar ile SSH üzerinden bağlanırsa, bu durumda kimlik doğrulamasını atlayarak kök (root) olarak jaratabilir.
Araştırmaların Sonuçları
Binarly, “35’den fazla arka kapılı görüntü belirledik,” açıklamasında bulunmaktadır. Bu durum, yalnızca Docker Hub üzerinde yayınlanan görüntülerden küçük bir kısmının tarandığını gösterir. Debian, bu görüntülerin kullanıcılar tarafından erişilmesine izin vermek amacıyla, yalnızca güncel görüntülerin kullanımını teşvik etmektedir.
Debian yöneticileri, bu görüntülerin Docker Hub’dan kaldırılmaması yönünde bilinçli bir karar almışlardır. Ancak, Binarly, bu yaklaşımı eleştirmektedir. Araştırmacılar, bu görüntülerin halka açık erişimde bulunmasının, özellikle otomatik yapılarla veya kazara yapılan çekimlerle önemli bir risk taşıdığını vurgularlar.
Kullanıcılar için Önlemler
Kullanıcılar, XZ-Utils arka kapısını içeren herhangi bir görüntünün kullanılmaması için dikkatli olmalıdır. XZ-Utils kütüphanesinin 5.6.2 veya üzeri bir sürümde olduğundan emin olunmalıdır. Mevcut en son stabil sürüm 5.8.1’dir ve bu yüzden kullanıcıların kütüphanelerini düzenli olarak güncellemeleri kritik önem arz etmektedir.
Kötü niyetli yazılımlar, özellikle arka kapılar, sistemler üzerinde büyük tehditler oluşturabilir. Sistemlerin güvenliğini sağlamak adına, güncel yazılım kullanımı ve düzenli kontrol yapılması gerekmektedir.
Sonuç Olarak
XZ-Utils arka kapısı, özellikle Docker Hub üzerinde yer alan enfekte görüntülerle, birçok kullanıcıyı tehdit ederken, güvenlik ihlalleri yaratma potansiyeline sahip. Debian’ın bu görüntüleri kaldırmaması ise zararı artırabilir. Kullanıcıların dikkatli olması ve en son güncellemeleri takip etmesi, bu tür güvenlik tehditlerinden korunmanın en etkili yollarındandır.
