Użytkownicy otwartego oprogramowania Narzędzia XZ Biblioteka kompresji danych mogła o włos uniknąć padnięcia ofiarą poważnego ataku na łańcuch dostaw, po uzyskaniu dowodów najwyraźniej celowo umieszczonej tylne drzwi w kodzie zostało ujawnione.
Szkodliwy kod osadzony w wersjach 5.6.0 i 5.6.1 biblioteki umożliwiał nieautoryzowany dostęp do dotkniętych dystrybucji Linuksa i przez ostatnie kilka dni był przedmiotem alertów od takich firm jak Red Hat i USA Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA).
Red Hat wyjaśnił, że złośliwa kompilacja zakłóca uwierzytelnianie za pośrednictwem bezpieczna skorupa (SSH). „W odpowiednich okolicznościach ta ingerencja może potencjalnie umożliwić złośliwemu aktorowi złamanie uwierzytelnienia SSH i zdalne uzyskanie nieautoryzowanego dostępu do całego systemu” – stwierdzono w swoim poradniku.
Według JFrogaostatecznym celem backdoora jest umożliwienie złośliwemu aktorowi wstrzyknięcia kodu do serwera OpenSSH działającego na komputerze docelowym i umożliwienie określonym osobom atakującym zdalnie wysyłanie dowolnych ładunków za pośrednictwem SSH, które są wykonywane przed uwierzytelnieniem i przejęciem celu.
Przypisano mu oznaczenie CVE-2024-3094 i jego odkrycie przypisuje się Andrew Freundowiprogramista firmy Microsoft, który dotknął kodu po tym, jak zauważył nieudane logowanie SSH przy dużym obciążeniu jednostki centralnej.
Wygląda na to, że sam backdoor został wprowadzony do projektu w lutym, ale został znaleziony przez Freunda, zanim został w pełni wdrożony na wolności – chociaż niektóre dystrybucje Linuksa, w tym Red Hat Fedora Linux 40 i Fedora Rawhide, mogły już otrzymać skażony kod .
Inne główne dystrybucje, w tym Debian Linux, Kali Linux I SUSEwydały własne zalecenia w tej sprawie.
Głęboko zaangażowany wysiłek
Wygląda na to, że backdoor był dziełem osoby trzymającej się za klamkę JiaT75, która: według szeroko zakrojonego śledztwa przeprowadzonego przez Ars Technicaprzez wiele lat wnosił znaczny wkład w projekt XZ Utils.
Na pierwszy rzut oka dowody sugerują skoordynowane i głęboko zaangażowane wysiłki JiaT75 mające na celu mydlenie oczu wszystkim. Jednak niewiele jeszcze wiadomo na temat tej osoby i należy zwrócić uwagę na możliwość, że może ona nie być stroną winną; być może sami zostali skompromitowani.
Saumitra Das, Jakość wiceprezes ds. technologii powiedział, że w incydencie z XZ Utils odbijają się echa tego, co niesławne Incydent SolarWinds-Sunburstz cichym wstrzyknięciem kodu, aby umożliwić zdalny, nieuwierzytelniony dostęp.
„Nie jest jasne, jaki byłby pełny łańcuch zabójstw po ataku, ale takie ataki są zazwyczaj bardzo trudne do wykrycia na wczesnym etapie” – powiedział. „Tego typu incydenty jeszcze bardziej uwydatniają potrzebę dogłębnej obrony, aby zapewnić wykrycie na różnych etapach łańcucha zabijania”.
Das dodatkowo to zauważył testowanie z przesunięciem w lewo – ogólnie reklamowany jako sposób na zwiększenie integralności nowego kodu – zapewniał niewystarczające zabezpieczenia przed rzekomym scenariuszem exploita, a obserwowanie zachowania systemu w sieci lub punkcie końcowym pod kątem złośliwych plików binarnych nie przyniosłoby żadnego pożytku. Twierdził, że aby mieć jakąkolwiek szansę na wykrycie, potrzebne byłoby dowodzenie i kontrola (C2) lub inne nietypowe działania.
„To… podkreśla potrzebę lepszego zrozumienia naszego łańcucha dostaw oprogramowania” – powiedział Das. „SBOM to tylko pierwszy krok informujący nas o składnikach oprogramowania. Następnym krokiem byłoby zweryfikowanie źródła samych składników. Osoba odpowiedzialna za GitHub, która to umieściła, sposób utrzymywania komponentu open source i przez kogo – to istotne pytania, które będziemy musieli wziąć pod uwagę.
Programistom i użytkownikom zaleca się natychmiastowe obniżenie wersji XZ Utils do wersji bezkompromisowej, przed przystąpieniem do dokładnego wykrycia jakiejkolwiek szkodliwej aktywności.