stringtranslate.com

Бэкдор XZ Utils

В феврале 2024 года вредоносный бэкдор был внедрен в сборку Linux утилиты xz в библиотеке liblzma в версиях 5.6.0 и 5.6.1 учетной записью с именем «Jia Tan». [b] [4] Бэкдор дает злоумышленнику, обладающему определенным закрытым ключом Ed448, возможность удаленного выполнения кода в уязвимой системе Linux. Уязвимости был присвоен номер Common Vulnerabilities and Exposures CVE - 2024-3094 и ей был присвоен рейтинг CVSS 10.0, наивысший возможный рейтинг. [5]

Хотя xz обычно присутствует в большинстве дистрибутивов Linux , на момент обнаружения версия с бэкдором еще не была широко развернута в производственных системах, но присутствовала в версиях разработки основных дистрибутивов. [6] Бэкдор был обнаружен разработчиком программного обеспечения Андресом Фройндом, который объявил о своих результатах 29 марта 2024 года. [7]

Фон

Сотрудник Microsoft и разработчик PostgreSQL Андрес Фройнд сообщил о бэкдоре после исследования снижения производительности в Debian Sid . [8] Фройнд заметил, что соединения SSH генерируют неожиданно высокую загрузку ЦП, а также вызывают ошибки в Valgrind , [9] инструменте отладки памяти. [10] Фройнд сообщил о своей находке в список рассылки Openwall Project по безопасности с открытым исходным кодом, [9] что привлекло к ней внимание различных поставщиков программного обеспечения. [10] Злоумышленник предпринял попытки скрыть код, [11] поскольку бэкдор состоит из нескольких этапов, которые действуют вместе. [12]

После того, как скомпрометированная версия внедряется в операционную систему, она изменяет поведение демона сервера SSH OpenSSH , злоупотребляя библиотекой systemd , что позволяет злоумышленнику получить доступ администратора. [12] [10] Согласно анализу Red Hat , бэкдор может «позволить злоумышленнику взломать аутентификацию sshd и получить несанкционированный доступ ко всей системе удаленно». [13]

Последующее расследование показало, что кампания по внедрению бэкдора в проект XZ Utils стала кульминацией примерно трехлетних усилий, с ноября 2021 года по февраль 2024 года, [14] пользователя под именем Jia Tan и псевдонимом JiaT75, чтобы получить доступ к доверенной должности в проекте. После периода давления на основателя и главного сопровождающего с целью передачи контроля над проектом посредством очевидного кукловодства , Jia Tan получила должность со-сопровождающего XZ Utils и смогла подписать версию 5.6.0, в которой был представлен бэкдор, и версию 5.6.1, в которой было исправлено некоторое аномальное поведение, которое могло быть очевидным во время тестирования программного обеспечения операционной системы. [10]

Некоторые из предполагаемых псевдонимов кукольного театра включают учетные записи с именами пользователей вроде Jigar Kumar , krygorin4545 и misoeater91 . Подозревается, что имена Jia Tan , а также предполагаемый автор кода Hans Jansen (для версий 5.6.0 и 5.6.1) являются псевдонимами, выбранными участниками кампании. Ни один из них не имеет какого-либо видимого публичного присутствия в разработке программного обеспечения за пределами коротких нескольких лет кампании. [15] [16]

Бэкдор отличался уровнем своей сложности и тем фактом, что преступник практиковал высокий уровень операционной безопасности в течение длительного периода времени, работая над достижением доверенной должности. Американский исследователь безопасности Дэйв Айтел предположил, что он соответствует шаблону, приписываемому APT29 , передовому постоянному субъекту угроз, который , как полагают, работал в интересах российской СВР . [14] Журналист Томас Клэберн предположил, что это мог быть любой государственный субъект или негосударственный субъект со значительными ресурсами. [17]

Механизм

Известно, что вредоносный код находится в выпусках 5.6.0 и 5.6.1 пакета программного обеспечения XZ Utils. Эксплойт остается неактивным, если не используется определенный сторонний патч сервера SSH. При правильных обстоятельствах это вмешательство потенциально может позволить злоумышленнику взломать аутентификацию sshd и получить несанкционированный доступ ко всей системе удаленно. [13] Вредоносный механизм состоит из двух сжатых тестовых файлов, которые содержат вредоносный двоичный код. Эти файлы доступны в репозитории git , но остаются неактивными, если их не извлечь и не внедрить в программу. [4] Код использует механизм glibc IFUNC для замены существующей функции в OpenSSH, вызванной RSA_public_decryptвредоносной версией. OpenSSH обычно не загружает liblzma, но распространенный сторонний патч, используемый несколькими дистрибутивами Linux, заставляет его загружать libsystemd , который, в свою очередь, загружает lzma. [4] Измененная версия build-to-host.m4была включена в tar-файл релиза, загруженный на GitHub , который извлекает скрипт, выполняющий фактическую инъекцию в liblzma. Этот измененный файл m4 отсутствовал в репозитории git; он был доступен только из файлов tar , выпущенных сопровождающим отдельно от git. [4] Похоже, что скрипт выполняет инъекцию только тогда, когда система собирается на системе Linux x86-64 , которая использует glibc и GCC и собирается через dpkg или rpm . [4]

Ответ

Ремедиация

Федеральное агентство по кибербезопасности и безопасности инфраструктуры США выпустило рекомендацию по безопасности, в которой рекомендовало откатить уязвимые устройства до предыдущей нескомпрометированной версии. [18] Поставщики программного обеспечения Linux, включая Red Hat, SUSE и Debian , вернули уязвимые пакеты к более старым версиям. [13] [19] [20] GitHub отключил зеркала для репозитория xz, прежде чем впоследствии восстановить их. [21]

Canonical отложила бета-релиз Ubuntu 24.04 LTS и его разновидностей на неделю и решила провести полную бинарную пересборку всех пакетов дистрибутива. [22] Хотя стабильная версия Ubuntu не была затронута, версии upstream были затронуты. Эта мера предосторожности была принята, поскольку Canonical не могла гарантировать к изначальному сроку выпуска, что обнаруженный бэкдор не повлияет на дополнительные пакеты во время компиляции. [23]

Более широкий ответ

Специалист по информатике Алекс Стамос высказал мнение, что «это мог быть самый распространенный и эффективный бэкдор, когда-либо внедренный в какой-либо программный продукт», отметив, что если бы бэкдор остался незамеченным, он бы «дал своим создателям главный ключ к любому из сотен миллионов компьютеров по всему миру, на которых работает SSH». [24] Кроме того, инцидент также положил начало обсуждению целесообразности зависимости критически важных частей киберинфраструктуры от неоплачиваемых добровольцев. [25]

Примечания

  1. ^ Уязвимость была эффективно устранена в течение нескольких часов после ее обнаружения путем возврата к предыдущей версии, которая была заведомо безопасной.
  2. ^ Является ли Цзя Тан группой людей, настоящим именем одного человека или псевдонимом одного человека, публично неизвестно.

Ссылки

  1. ^ "Понимание реакции Red Hat на инцидент безопасности XZ" . Получено 4 ноября 2024 г.
  2. ^ Oxide and Friends 08.04.2024 — Открываем бэкдор XZ с Андресом Фройндом . Получено 4 ноября 2024 г.
  3. ^ Коллин, Лассе. «Удалите бэкдор, обнаруженный в 5.6.0 и 5.6.1 (CVE-2024-3094)». GitHub . Получено 19 июня 2024 г.
  4. ^ abcde Джеймс, Сэм. "xz-utils backdoor situation (CVE-2024-3094)". GitHub . Архивировано из оригинала 2 апреля 2024 г. . Получено 2 апреля 2024 г. .
  5. ^ Гатлан, Серджиу. «Red Hat предупреждает о бэкдоре в инструментах XZ, используемых большинством дистрибутивов Linux». BleepingComputer . Архивировано из оригинала 29 марта 2024 г. . Получено 29 марта 2024 г. .
  6. ^ "CVE-2024-3094". Национальная база данных уязвимостей . NIST. Архивировано из оригинала 2 апреля 2024 г. Получено 2 апреля 2024 г.
  7. ^ Корбет, Джонатан. "A backdoor in xz". LWN . Архивировано из оригинала 1 апреля 2024 года . Получено 2 апреля 2024 года .
  8. ^ Zorz, Zeljka (29 марта 2024 г.). «Осторожно! В утилитах XZ, используемых многими дистрибутивами Linux, обнаружен бэкдор (CVE-2024-3094)». Help Net Security . Архивировано из оригинала 29 марта 2024 г. . Получено 29 марта 2024 г. .
  9. ^ ab "oss-security - бэкдор в upstream xz/liblzma, ведущий к компрометации сервера ssh". www.openwall.com . Архивировано из оригинала 1 апреля 2024 г. Получено 3 апреля 2024 г.
  10. ^ abcd Гудин, Дэн (1 апреля 2024 г.). «Что мы знаем о бэкдоре xz Utils, который почти заразил мир». Ars Technica . Архивировано из оригинала 1 апреля 2024 г. Получено 1 апреля 2024 г.
  11. ^ O'Donnell-Welch, Lindsey (29 марта 2024 г.). "Red Hat, CISA предупреждают о бэкдоре XZ Utils". Расшифровка . Архивировано из оригинала 29 марта 2024 г. . Получено 29 марта 2024 г. .
  12. ^ ab Claburn, Thomas. "В библиотеке сжатия Linux xz обнаружен вредоносный бэкдор". The Register . Архивировано из оригинала 1 апреля 2024 г. Получено 1 апреля 2024 г.
  13. ^ abc "Срочное предупреждение безопасности для пользователей Fedora 41 и Fedora Rawhide". Red Hat. Архивировано из оригинала 29 марта 2024 г. Получено 29 марта 2024 г.
  14. ^ ab Greenberg, Andy. "The Mystery of „Jia Tan,“ the XZ Backdoor Mastermind". Wired . Архивировано из оригинала 3 апреля 2024 г. Получено 3 апреля 2024 г.
  15. ^ "Watching xz unfold from afar". 31 марта 2024 г. Архивировано из оригинала 6 апреля 2024 г. Получено 6 апреля 2024 г.
  16. ^ "Хронология атаки через бэкдор на XZ Utils". 3 апреля 2024 г. Архивировано из оригинала 10 апреля 2024 г. Получено 7 апреля 2024 г.
  17. ^ Клэберн, Томас. «Вредоносный бэкдор xz раскрывает хрупкость открытого исходного кода». The Register . Архивировано из оригинала 8 апреля 2024 г. Получено 8 апреля 2024 г.
  18. ^ «Сообщение о компрометации цепочки поставок, влияющей на библиотеку сжатия данных XZ Utils, CVE-2024-3094». CISA. 29 марта 2024 г. Архивировано из оригинала 29 марта 2024 г. Получено 29 марта 2024 г.
  19. ^ "SUSE решает проблему атаки на цепочку поставок против библиотеки сжатия xz". Сообщества SUSE . SUSE. Архивировано из оригинала 29 марта 2024 г. Получено 29 марта 2024 г.
  20. ^ Сальваторе, Бонаккорсо (29 марта 2024 г.). "[БЕЗОПАСНОСТЬ] [DSA 5649-1] обновление безопасности xz-utils". debian-security-announce (список рассылки). Архивировано из оригинала 29 марта 2024 г. Получено 29 марта 2024 г.
  21. ^ "Важная информация о xz-utils (CVE-2024-3094)". about.gitlab.com . Архивировано из оригинала 1 апреля 2024 года . Получено 31 мая 2024 года .
  22. ^ "Noble Numbat Beta отложена (обновление безопасности xz/liblzma)". Ubuntu Community Hub . 3 апреля 2024 г. Архивировано из оригинала 10 апреля 2024 г. Получено 10 апреля 2024 г.
  23. ^ Снеддон, Джои (3 апреля 2024 г.). «Ubuntu 24.04 Beta отложена из-за проблем безопасности». О, боже! Ubuntu . Архивировано из оригинала 8 апреля 2024 г. Получено 10 апреля 2024 г.
  24. ^ Руз, Кевин (3 апреля 2024 г.). «Остановил ли один парень огромную кибератаку?». The New York Times . Архивировано из оригинала 4 апреля 2024 г. Получено 4 апреля 2024 г.
  25. ^ Халид, Амрита (2 апреля 2024 г.). «Как один доброволец остановил бэкдор от раскрытия систем Linux по всему миру». The Verge . Архивировано из оригинала 4 апреля 2024 г. Получено 4 апреля 2024 г.

Внешние ссылки