Yeni bir analiz, büyük Linux dağıtımlarında yaygın olarak kullanılan bir paket olan açık kaynak kütüphanesi XZ Utils’e eklenen kötü amaçlı kodun, uzaktan kod yürütülmesini de kolaylaştırabildiğini ortaya çıkardı.
CVE-2024-3094 (CVSS puanı: 10.0) olarak takip edilen cüretkar tedarik zinciri uzlaşması, geçen hafta Microsoft mühendisi ve PostgreSQL geliştiricisi Andres Freund’un bu konuda uyarmasıyla ortaya çıktı. mevcudiyet bir arka kapı uzaktaki saldırganlara güvenli kabuk kimlik doğrulamasından kaçma ve etkilenen sisteme tam erişim sağlama yolu sağlayan veri sıkıştırma yardımcı programında.
XZ Utils, aşağıdakiler için bir komut satırı aracıdır: verileri sıkıştırma ve açma Linux ve diğer Unix benzeri işletim sistemlerinde.
Kötü amaçlı kodun, Jia Tan (diğer adıyla Jia Cheong Tan veya JiaT75) adlı proje sorumlularından biri tarafından, birkaç yıl süren titiz bir saldırı gibi görünen bir yöntemle kasıtlı olarak tanıtıldığı söyleniyor. GitHub kullanıcı hesabı 2021’de oluşturuldu. Aktörlerin kimliği şu anda bilinmiyor.
Akamai bir raporunda, “Tehdit aktörü neredeyse iki yıl önce XZ projesine katkıda bulunmaya başladı ve kendilerine bakım sorumlulukları verilene kadar yavaş yavaş güvenilirlik kazandı.” dedi.
Zekice yapılmış bir sosyal mühendislik eylemi olarak Jigar Kumar ve Dennis Ens gibi kukla hesaplar inanıldı alışmış olmak özellik istekleri gönder ve orijinal bakımcıyı zorlamak için yazılımdaki çeşitli sorunları bildirin – Lasse Collin Tukaani Projesi’nin – depoya yeni bir ortak bakımcı eklemek için.
2023’te XZ Utils’e bir dizi değişiklik getiren ve sonunda Şubat 2024’te 5.6.0 sürümünü piyasaya süren Jia Tan’a girin. Bunlar aynı zamanda gelişmiş bir arka kapı da barındırıyordu.
Collin, “Daha önceki e-postalarda da ima ettiğim gibi, Jia Tan’ın gelecekte projede daha büyük bir rolü olabilir.” söz konusu Haziran 2022’de Kumar ile yapılan bir değişimde.
“Liste dışı pek çok yardımda bulunuyor ve pratikte zaten eş bakım sorumlusu olarak görev yapıyor. 🙂 Git deposunda henüz pek bir şeyin gerçekleşmediğini biliyorum, ancak işler küçük adımlarla gerçekleşiyor. Her halükarda, bakımda bazı değişiklikler zaten var. en azından XZ Utils için yapım aşamasında.”
Arka kapı, XZ Utils 5.6.0 ve 5.6.1 sürüm tarball’larını etkiler; bunlardan ikincisi aynı implantın geliştirilmiş bir versiyonunu içerir. Collins o zamandan beri kabul edildi Her iki tarball’ın da Jia Tan tarafından oluşturulup imzalandığını ve yalnızca artık devre dışı bırakılan GitHub deposuna erişimlerinin olduğunu belirten projenin ihlali.
Ürün yazılımı güvenlik şirketi Binarly, “Bu, etkileyici bir gelişmişlik ve çok yıllı planlamaya sahip, açıkça çok karmaşık, devlet destekli bir operasyon.” söz konusu. “Bu kadar karmaşık ve profesyonelce tasarlanmış kapsamlı bir implantasyon çerçevesi, tek seferlik bir operasyon için geliştirilmemiştir.”
Açık kaynaklı kriptograf Filippo Valsorda’nın arka kapıya ilişkin daha derin bir incelemesi de şunu ortaya çıkardı: açıklığa kavuşmuş Etkilenen sürümlerin, belirli uzak saldırganların, kimlik doğrulama protokollerini atlatacak ve kurban makinenin kontrolünü etkili bir şekilde ele geçirecek şekilde yürütülecek bir SSH sertifikası aracılığıyla rastgele veriler göndermesine izin verdiği belirtildi.
Akamai, “Sanki savunmasız makinedeki SSH arka plan programına arka kapı eklenmiş gibi görünüyor ve uzaktaki bir saldırganın rastgele kod yürütmesine olanak tanıyor” dedi. “Bu, SSH’yi internete açık hale getiren savunmasız pakete sahip herhangi bir makinenin potansiyel olarak savunmasız olduğu anlamına gelir.”
Başka bir deyişle arka kapı izin verir Kötü niyetli komutları yürütmek amacıyla SSH arka plan programını ele geçirmek için önceden belirlenmiş özel anahtara sahip uzak bir saldırgan.
Söylemeye gerek yok, Freund’un kazara keşfi bugüne kadar keşfedilen en önemli tedarik zinciri saldırılarından biri ve paket Linux dağıtımlarının kararlı sürümlerine entegre edilmiş olsaydı ciddi bir güvenlik felaketi olabilirdi.
“Bu tedarik zinciri saldırısının en dikkate değer kısmı, saldırganın kendini meşru bir bakım sağlayıcı olarak kanıtlamak için iki yıldan fazla çalışması, çeşitli OSS projelerinde iş almayı teklif etmesi ve birden fazla projede kod işlemesi yoluyla aşırı düzeyde kendini adamış olmasıdır. tespit edilmekten kaçınmak için,” JFrog söz konusu.
Apache Log4j örneğinde olduğu gibi olay bir kez daha yaşandı öne çıkanlar açık kaynak yazılımlara ve gönüllüler tarafından yürütülen projelere olan güven ve bunların bir uzlaşmaya uğraması veya büyük bir güvenlik açığına sahip olması durumunda ortaya çıkabilecek sonuçlar.
ReversingLabs, “Kuruluşların daha büyük ‘düzeltme’si, hem açık kaynak hem de kendi geliştirme süreçlerinde kullanılan ticari koddaki kurcalama işaretlerini ve kötü amaçlı özellikleri tespit etmelerine olanak tanıyan araç ve süreçleri benimsemeleridir.” söz konusu.
