Zephyrnet-logo

Generativ dataintelligens

Cyber ​​Security

XZ bruker bakdør implantert i intrikat forsyningskjedeangrep

Publisert av Platon
Publisert av Platon

Dato:

Visninger: 94

A nyoppdaget bakdør i XZ Utils, et datakomprimeringsverktøy som er tilstede i nesten alle Linux-distribusjoner, har gjenopplivet spøkelsene fra tidligere store sikkerhetsskremmer for programvareforsyningskjeden som Log4Shell-sårbarheten og angrepet på SolarWinds.

Bakdøren er innebygd i et XZ-bibliotek kalt liblzma og gir eksterne angripere en måte å omgå sikker skall-autentisering (sshd) og deretter få full tilgang til et berørt system. En person med tilgang på vedlikeholdsnivå til koden ser ut til å bevisst ha introdusert bakdøren i et møysommelig utført flerårig angrep.

Bakdøren påvirker XZ Utils 5.6.0 og 5.6.1, som er versjoner av verktøyet som for øyeblikket kun brukes i ustabile og beta-utgivelser av Fedora, Debian, Kali, open SUSE og Arch Linux. Som et resultat er den potensielle trusselen med denne bakdøren foreløpig betydelig mer begrenset enn om skadevaren hadde funnet veien inn i en stabil Linux-distro.

Likevel har det faktum at noen klarte å snike en nesten uoppdagelig bakdør inn i en pålitelig, mye brukt åpen kildekode-komponent – ​​og den potensielle ødeleggelsen den kunne ha forårsaket – kommet som en smertefull vekker på hvordan sårbare organisasjoner forblir for angrep via forsyningen. kjede.

"Dette forsyningskjedeangrepet kom som et sjokk for OSS-fellesskapet, ettersom XZ Utils ble ansett som et pålitelig og gransket prosjekt," JFrog-forskere sa i et blogginnlegg. "Angriperen bygget opp et troverdig rykte som en OSS-utvikler i løpet av flere år og brukte svært skjult kode for å unngå oppdagelse ved kodegjennomganger."

XZ Nyttig er et kommandolinjeverktøy for å komprimere og dekomprimere data i Linux og andre Unix-lignende operativsystemer. Microsoft-utvikler Andres Freund oppdaget bakdøren i programvaren da han undersøkte merkelig oppførsel de siste ukene rundt liblzma på noen Debian-installasjoner. Etter først å ha trodd at bakdøren bare var et Debian-problem, oppdaget Freund at problemet faktisk påvirket oppstrøms XZ-depotet og tilhørende tarballs eller arkivfiler. Han offentlig avslørte trusselen 29. mars.

I helgen har sikkerhetsteam tilknyttet Fedora, Debian, opensuse, Kali, og Arch utstedte akutte råd som varslet organisasjoner som kjører de berørte Linux-utgivelsene om umiddelbart å gå tilbake til tidligere, mer stabile utgivelser av programvaren deres for å redusere den potensielle risikoen for ekstern kjøring av kode.

Maksimal alvorlighetssårbarhet

Red Hat, hovedsponsor og bidragsyter til Fedora, tildelte bakdøren en sårbarhetsidentifikator (CVE-2024-3094) og vurderte det som en maksimal alvorlighetsrisiko (CVSS-score på 10) for å trekke oppmerksomhet til trusselen. US Cybersecurity and Infrastructure Security Agency (CISA) sluttet seg til koret av stemmer som oppfordret organisasjoner som bruker berørte Linux-distribusjoner til å nedgradere deres XZ Utils til en tidligere versjon, og for å lete etter potensiell aktivitet knyttet til bakdøren og rapportere slike funn til byrået.

Alle rådene ga tips til brukere om hvordan de raskt kan sjekke tilstedeværelsen av de bakdørs XZ-versjonene i koden deres. Red Hat ga ut en oppdatering som tilbakestiller XZ til tidligere versjoner, som selskapet vil gjøre tilgjengelig via sin normale oppdateringsprosess. Men brukere som er bekymret for potensielle angrep kan tvinge frem oppdateringen hvis de ikke vil vente på at oppdateringen blir tilgjengelig via den normale prosessen, sa selskapet.

I dag Binarly ga ut et gratis verktøy som organisasjoner kan bruke til å se etter bakdørs XZ-er også.

"Hadde denne ondsinnede koden blitt introdusert til stabile OS-utgivelser i flere Linux-distribusjoner, kunne vi ha sett i-the-wild utnyttelse i massevis," sier Scott Caveza, stabsforskningsingeniør ved Tenable. "Jo lenger dette gikk ubemerket, jo større potensiale for mer ondsinnet kode fra hvem denne ondsinnede skuespilleren måtte være."

I en FAQ, Tenable beskrev bakdøren som modifiserer funksjoner i liblzma på en slik måte at angripere kan avskjære og endre data i biblioteket. "I eksemplet observert av Freund, under visse forhold, kan denne bakdøren tillate en ondsinnet aktør å 'bryte sshd-autentisering', slik at angriperen får tilgang til et berørt system," bemerket forskerne.

XZ bruker "Maintainer" bak bakdøren

Det som gjør bakdøren spesielt plagsom er det faktum at noen som bruker en konto som tilhører en vedlikeholder av XZ Util, innebygde skadevaren i pakken i det som ser ut til å ha vært en nøye planlagt flerårig operasjon. I en mye referert blogginnlegg, sikkerhetsforsker Evan Boehs sporet den ondsinnede aktiviteten tilbake til 2021 da en person som brukte navnet Jia Tan opprettet en GitHub-konto og nesten umiddelbart begynte å gjøre mistenkelige endringer i noen åpen kildekode-prosjekter.

Blogginnlegget gir en detaljert tidslinje over trinnene Jia Tan og et par andre individer tok for å gradvis bygge nok tillit i XZ-fellesskapet til å gjøre endringer i programvaren og til slutt introdusere bakdøren.

"Alle bevisene peker på at sosial manipulasjon blir brukt av en person med det eneste endemålet å sette inn en bakdør," sier Boehs til Dark Reading. "I utgangspunktet var det aldri en reell innsats for å opprettholde prosjektet, bare for å få nok tillit til å sette inn [bakdøren] stille."

Vanligvis krever det at en person etablerer en følelse av pålitelighet for å få tilgang til et depot. Ofte gir prosjekter nye forpliktelser tilgang til enkeltpersoner bare når det er behov for det og etter en viss risikovurdering, sier Boehs.

"I dette tilfellet skapte Jia et [tilsynelatende] legitimt behov for flere vedlikeholdere ... og begynte deretter å bygge tillit. Samfunnet vårt er bygget på tillit, og noen ganger utnytter noen listige mennesker det, sier han. «Å få tillatelse krever tillit. Tillit tar tid å etablere. Jia var med i det lange spillet.»

Boehs sier det er uklart når nøyaktig Jia Tan ble et pålitelig medlem av depotet. Men like etter hans første forpliktelse i 2022, ble Jia Tan en fast bidragsyter og er for tiden den nest mest aktive på prosjektet. GitHub har siden suspendert Jia Tans konto.

Saumitra Das, visepresident for ingeniørfag i Qualys, sier at det som skjedde med XZ Util kan skje andre steder.

"Mange kritiske biblioteker i åpen kildekode blir vedlikeholdt av frivillige i samfunnet som ikke får betalt for det og kan være under press på grunn av deres personlige problemer," sier Das.

Vedlikeholdere som er under press, ønsker ofte bidragsytere velkommen som er villige til å bruke enda litt tid på prosjektene sine. "Over tid kan slike folk få mer kontroll over koden," som tilfellet var med XZ Utils, sier han.

spot_img

Siste etterretning

spot_img

Copyright @ 2024 Plato Technologies Inc.