Jump to content

Бэкдор XZ Utils

Бэкдор XZ Utils
Предыдущий логотип XZ предоставлен Цзя Таном
Идентификатор(ы) CVE CVE - 2024-3094
Дата обнаружения 29 марта 2024 г .; 4 месяца назад ( 29.03.2024 )
Дата исправления 29 марта 2024 г .; 4 месяца назад ( 29.03.2024 ) [а] [1]
Первооткрыватель друг Андре
Затронутое программное обеспечение xz /liblzma библиотека
Веб-сайт мы будем это отрицать .org /xz-бэкдор /

29 марта 2024 года разработчик программного обеспечения Андрес Фройнд сообщил, что он обнаружил вредоносный бэкдор в утилите Linux xz в библиотеке liblzma в версиях 5.6.0 и 5.6.1, выпущенной учетной записью под именем «Jia Tan». [б] в феврале 2024 года. [2]

Хотя xz обычно присутствует в большинстве дистрибутивов Linux , на момент обнаружения версия с бэкдором еще не получила широкого распространения в производственных системах, но присутствовала в разрабатываемых версиях основных дистрибутивов. [3]

Бэкдор дает злоумышленнику, обладающему особым Ed448, секретным ключом возможность удаленного выполнения кода в уязвимой системе Linux. Проблеме присвоен общей уязвимости и подверженности номер CVE 2024–3094 гг., и ему был присвоен балл CVSS 10,0, максимально возможный балл. [4] [5] [6]

Фон

[ редактировать ]

Сотрудник Microsoft и разработчик PostgreSQL Андрес Фройнд сообщил о бэкдоре после исследования снижения производительности в Debian Sid . [7] Фройнд заметил, что SSH-соединения неожиданно сильно нагружают ЦП, а также вызывают ошибки в Valgrind . [8] инструмент отладки памяти. [9] Фройнд сообщил о своем открытии в Openwall Project по безопасности с открытым исходным кодом. списке рассылки [8] что привлекло к нему внимание различных поставщиков программного обеспечения. [9] Злоумышленник приложил усилия, чтобы запутать код, [10] поскольку бэкдор состоит из нескольких этапов, которые действуют вместе. [11]

Как только скомпрометированная версия внедряется в операционную систему, она изменяет поведение сервера OpenSSH - демона SSH , злоупотребляя библиотекой systemd , позволяя злоумышленнику получить доступ администратора. [11] [9] Согласно анализу Red Hat , бэкдор может «позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе». [12]

Последующее расследование показало, что кампания по внедрению бэкдора в проект XZ Utils стала кульминацией примерно трехлетних усилий пользователя под именем Цзя Тан и ником JiaT75, направленного на получение доступа к доверенному положению в проекте. После периода давления на основателя и главного специалиста по сопровождению с целью передать контроль над проектом с помощью явной марионетки , Цзя Тан получил должность со-сопровождающего XZ Utils и смог подписаться на версию 5.6.0, которая представила бэкдор и версия 5.6.1, в которой исправлено некоторое аномальное поведение, которое могло быть обнаружено во время тестирования программного обеспечения операционной системы. [9]

Некоторые из предполагаемых псевдонимов для кукольных носков включают учетные записи с такими именами, как Jigar Kumar , krygorin4545 и misoeater91 . Есть подозрение, что имена Цзя Тан , а также предполагаемый автор кода Ханс Янсен (для версий 5.6.0 и 5.6.1) — это псевдонимы, выбранные участниками кампании. Ни один из них не имел какого-либо заметного публичного присутствия в разработке программного обеспечения за исключением нескольких лет кампании. [13] [14]

Бэкдор отличался своей изощренностью и тем фактом, что злоумышленник в течение длительного периода времени практиковал высокий уровень оперативной безопасности , стремясь завоевать доверие. Американский исследователь безопасности Дэйв Эйтел предположил, что это соответствует схеме, приписываемой APT29 , передовому злоумышленнику, предположительно действующему от имени российской СВР . [15] Журналист Томас Клэберн предположил, что это может быть любой государственный или негосударственный субъект, обладающий значительными ресурсами. [16]

Механизм

[ редактировать ]

Известно, что вредоносный код содержится в версиях 5.6.0 и 5.6.1 программного пакета XZ Utils. Эксплойт остается бездействующим , если не используется специальный сторонний патч SSH-сервера. При определенных обстоятельствах это вмешательство потенциально может позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе . [12] Вредоносный механизм состоит из двух сжатых тестовых файлов, содержащих вредоносный двоичный код. Эти файлы доступны в репозитории git , но остаются неактивными, если их не извлечь и не внедрить в программу. [6] В коде используется glibc IFUNC механизм замены существующей функции в OpenSSH, называемый RSA_public_decrypt с вредоносной версией. OpenSSH обычно не загружает liblzma, но общий сторонний патч, используемый в нескольких дистрибутивах Linux, заставляет его загружать libsystemd , который, в свою очередь, загружает lzma. [6] Модифицированная версия build-to-host.m4 был включен в tar-файл релиза, загруженный на GitHub , который извлекает скрипт, выполняющий фактическое внедрение в liblzma. Этот модифицированный файл m4 отсутствовал в репозитории git; он был доступен только из файлов tar, выпущенных сопровождающим отдельно от git. [6] Похоже, что сценарий выполняет внедрение только в том случае, если система собирается в системе Linux x86-64 , которая использует glibc и GCC и собирается через dpkg или rpm . [6]

Ответ

[ редактировать ]

Исправление

[ редактировать ]

Федеральное агентство по кибербезопасности и безопасности инфраструктуры США выпустило рекомендации по безопасности, в которых рекомендуется откатить затронутые устройства к предыдущей бескомпромиссной версии. [17] Поставщики программного обеспечения Linux, включая Red Hat, SUSE и Debian , вернули затронутые пакеты к более ранним версиям. [12] [18] [19] GitHub отключил зеркала для репозитория xz, прежде чем впоследствии восстановить их. [20]

Canonical отложила выпуск бета- версии Ubuntu 24.04 LTS и ее версий на неделю и выбрала полную бинарную пересборку всех пакетов дистрибутива. [21] Хотя на стабильную версию Ubuntu это не повлияло, на исходные версии это не повлияло. Эта мера предосторожности была принята потому, что Canonical не могла гарантировать к первоначальному сроку выпуска, что обнаруженный бэкдор не повлияет на дополнительные пакеты во время компиляции. [22]

Более широкий ответ

[ редактировать ]
xkcd нет. 2347 Зависимость
значок изображения xkcd № комикса . 2347 Комментаторы часто ссылаются на зависимость , чтобы отразить затруднительное положение одного бесплатного волонтера, поддерживающего критически важное, широко используемое программное обеспечение. [23] [24]

Ученый-компьютерщик Алекс Стамос высказал мнение, что «это мог быть самый распространенный и эффективный бэкдор, когда-либо внедренный в любой программный продукт», отметив, что, если бы бэкдор остался незамеченным, он «дал бы своим создателям главный ключ к любому из сотен миллионов компьютеров по всему миру, на которых работает SSH». [25] Кроме того, инцидент также положил начало дискуссии о целесообразности зависимости критических частей киберинфраструктуры от неоплачиваемых волонтеров. [26]

Примечания

[ редактировать ]
  1. ^ Уязвимость была эффективно исправлена ​​в течение нескольких часов после обнаружения путем возврата к предыдущей версии, заведомо безопасной.
  2. Является ли Цзя Тан группой людей, настоящим именем одного человека или псевдонимом одного человека, публично неизвестно.

Ссылки

[ редактировать ]
  1. ^ Коллин, Лассе. «Удалите бэкдор, обнаруженный в версиях 5.6.0 и 5.6.1 (CVE-2024-3094)» . Гитхаб . Проверено 19 июня 2024 г.
  2. ^ Корбет, Джонатан. «Бэкдор в xz» . ЛВН . Архивировано из оригинала 1 апреля 2024 года . Проверено 2 апреля 2024 г.
  3. ^ «CVE-2024-3094» . Национальная база данных уязвимостей . НИСТ. Архивировано из оригинала 2 апреля 2024 года . Проверено 2 апреля 2024 г.
  4. ^ Гатлан, Сергей. «Red Hat предупреждает о бэкдоре в инструментах XZ, используемых в большинстве дистрибутивов Linux» . Мигающий компьютер . Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  5. ^ Группа разведки безопасности Akamai (1 апреля 2024 г.). «Бэкдор XZ Utils — все, что вам нужно знать и что вы можете сделать» . Архивировано из оригинала 2 апреля 2024 года . Проверено 2 апреля 2024 г.
  6. ^ Перейти обратно: а б с д и Джеймс, Сэм. «Ситуация с бэкдором xz-utils (CVE-2024-3094)» . Гитхаб . Архивировано из оригинала 2 апреля 2024 года . Проверено 2 апреля 2024 г.
  7. ^ Зорз, Зелька (29 марта 2024 г.). «Осторожно! В утилитах XZ, используемых многими дистрибутивами Linux, обнаружен бэкдор (CVE-2024-3094)» . Помогите Net Security . Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  8. ^ Перейти обратно: а б «oss-security — бэкдор в исходном коде xz/liblzma, ведущий к компрометации ssh-сервера» . www.openwall.com . Архивировано из оригинала 1 апреля 2024 года . Проверено 3 апреля 2024 г.
  9. ^ Перейти обратно: а б с д Гудин, Дэн (1 апреля 2024 г.). «Что мы знаем о бэкдоре xz Utils, который чуть не заразил мир» . Арс Техника . Архивировано из оригинала 1 апреля 2024 года . Проверено 1 апреля 2024 г.
  10. ^ О'Доннелл-Уэлч, Линдси (29 марта 2024 г.). «Red Hat, CISA предупреждает о бэкдоре XZ Utils» . Расшифровать . Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  11. ^ Перейти обратно: а б Клэберн, Томас. «В библиотеке сжатия Linux xz обнаружен вредоносный бэкдор» . Регистр . Архивировано из оригинала 1 апреля 2024 года . Проверено 1 апреля 2024 г.
  12. ^ Перейти обратно: а б с «Срочное предупреждение безопасности для пользователей Fedora 41 и Fedora Rawhide» . Красная шляпа. Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  13. ^ «Наблюдение за разворачиванием xz издалека» . 31 марта 2024 года. Архивировано из оригинала 6 апреля 2024 года . Проверено 6 апреля 2024 г.
  14. ^ «Хронология бэкдор-атаки на XZ Utils» . 3 апреля 2024 года. Архивировано из оригинала 10 апреля 2024 года . Проверено 7 апреля 2024 г.
  15. ^ Гринберг, Энди. «Тайна Цзя Тана, вдохновителя бэкдоров XZ» . Проводной . Архивировано из оригинала 3 апреля 2024 года . Проверено 3 апреля 2024 г.
  16. ^ Клэберн, Томас. «Вредоносный бэкдор xz раскрывает хрупкость открытого исходного кода» . Регистр . Архивировано из оригинала 8 апреля 2024 года . Проверено 8 апреля 2024 г.
  17. ^ «Сообщено о компрометации цепочки поставок, затрагивающей библиотеку сжатия данных XZ Utils, CVE-2024-3094» . СНГА. 29 марта 2024 года. Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  18. ^ «SUSE устраняет атаку в цепочке поставок на библиотеку сжатия xz» . Сообщества SUSE . СУЗЕ. Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  19. ^ Сальваторе, Бонаккорсо (29 марта 2024 г.). «[БЕЗОПАСНОСТЬ] [DSA 5649-1] обновление безопасности xz-utils» . debian-security-announce (список рассылки). Архивировано из оригинала 29 марта 2024 года . Проверено 29 марта 2024 г.
  20. ^ «Важная информация о xz-utils (CVE-2024-3094)» . о.gitlab.com . Архивировано из оригинала 1 апреля 2024 года . Проверено 31 мая 2024 г.
  21. ^ «Бета-версия Noble Numbat задерживается (обновление безопасности xz/liblzma)» . Центр сообщества Ubuntu . 3 апреля 2024 года. Архивировано из оригинала 10 апреля 2024 года . Проверено 10 апреля 2024 г.
  22. ^ Снеддон, Джоуи (3 апреля 2024 г.). «Бета-версия Ubuntu 24.04 отложена из-за проблем с безопасностью» . МОЙ БОГ! Убунту . Архивировано из оригинала 8 апреля 2024 года . Проверено 10 апреля 2024 г.
  23. ^ Масник, Майк (8 апреля 2024 г.). «История бэкдора XZ намного интереснее, чем должна быть» . Техдирт . Архивировано из оригинала 10 апреля 2024 года . Проверено 12 апреля 2024 г.
  24. ^ Коломе, Хорди Перес (10 апреля 2024 г.). «Как полсекунды подозрительной активности позволили инженеру предотвратить масштабную кибератаку» . ЭЛЬ-ПАИС английский . Архивировано из оригинала 12 апреля 2024 года . Проверено 12 апреля 2024 г.
  25. ^ Руз, Кевин (3 апреля 2024 г.). «Один парень только что остановил огромную кибератаку?» . Нью-Йорк Таймс . Архивировано из оригинала 4 апреля 2024 года . Проверено 4 апреля 2024 г.
  26. ^ Халид, Амрита (2 апреля 2024 г.). «Как один волонтер не позволил бэкдору раскрыть системы Linux по всему миру» . Грань . Архивировано из оригинала 4 апреля 2024 года . Проверено 4 апреля 2024 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=XZ_Utils_backdoor&oldid=1235809231"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 954d949137488cc49756aa968b6991ec__1721545140
URL1:https://arc.ask3.ru/arc/aa/95/ec/954d949137488cc49756aa968b6991ec.html
Заголовок, (Title) документа по адресу, URL1:
XZ Utils backdoor - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)