/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg)
Linux, найпоширеніша у світі операційна система з відкритим вихідним кодом, ледь уникла масштабної кібератаки під час великодніх вихідних завдяки одному волонтеру.
Бекдор включено до останньої версії формату стиснення Linux під назвою XZ Utils, інструменту, мало відомого за межами світу Linux, але який використовується майже в кожному дистрибутиві Linux для стиснення великих файлів, полегшуючи їх передачу. Якби вірус поширився ширше, незліченна кількість систем могла б залишатися вразливою роками.
І як Ars Technica помітив в Вичерпне резюмеЗловмисник працював над проектом публічно.
Уразливість, яка була введена в систему віддаленого входу в систему Linux, відкривала себе лише для одного ключа, тому могла приховатися від загальнодоступного сканування комп’ютера. люблю Бен Томпсон пише на Strachry. «Більшість комп’ютерів у світі будуть вразливими, і ніхто про це не дізнається».
Історія відкриття бекдора XZ починається рано вранці 29 березня, коли розробник Microsoft із Сан-Франциско Андерс Фройнд опублікував на Mastodon і Я надіслав електронний лист До списку розсилки безпеки OpenWall із заголовком: «xz/liblzma висхідний бекдор призводить до компрометації сервера ssh».
Фройнд, який добровольцем є «наглядачем» у PostgreSQL, базі даних на базі Linux, помітив деякі дивні речі протягом останніх кількох тижнів під час виконання тестів. Зашифровані входи в liblzma, частину бібліотеки стиснення XZ, споживали значну кількість ЦП. Жоден із інструментів продуктивності, які він використовував, нічого не відкрив», — написав Фройнд у Mastodon. Це одразу викликало у нього підозри, і він згадав «дивну скаргу» користувача Postgres кілька тижнів тому на Valgrind, програму для Linux, яка перевіряє наявність помилок пам’яті.
Після деякого дослідження Фройнд зрештою виявив, що не так. «XZ Warehouse і XZ Tar Balls закрилися», — зазначив Фройнд у своєму електронному листі. Шкідливий код був присутній у версіях 5.6.0 і 5.6.1 інструментів і бібліотек xz.
Невдовзі після цього компанія з відкритим кодом Red Hat надіслала повідомлення Екстрене сповіщення безпеки Для користувачів Fedora Rawhide і Fedora Linux 40. Зрештою компанія дійшла висновку, що бета-версія Fedora Linux 40 містить дві уражені версії бібліотек xz. Можливо, версії Fedora Rawhide також отримали версії 5.6.0 або 5.6.1.
Будь ласка, негайно припиніть використовувати будь-які продукти FEDORA RAWHIDE для бізнесу чи особистої діяльності. Незабаром Fedora Rawhide буде повернуто до xz-5.4.x, і коли це буде зроблено, екземпляри Fedora Rawhide можна буде безпечно повторно розгортати.
Хоча бета-версія Debian, безкоштовного дистрибутива Linux, містить пакети, скомпрометовані командою безпеки Я діяв швидко Щоб повернутися до них. «Наразі стабільні версії Debian не зачіпаються», — написав Сальваторе Бонаккорсо з Debian у попередженні безпеки для користувачів у п’ятницю ввечері.
Пізніше Фройнд ідентифікував особу, яка надіслала шкідливий код, як одного з двох провідних розробників xz Utils, відомих як JiaT75 або Jia Tan. “З огляду на те, що діяльність тривала протягом кількох тижнів, зловмисник або був безпосередньо залучений, або була серйозна компрометація їхньої системи. На жаль, останнє здається найменш імовірним поясненням, враховуючи, що вони говорили в різних списках “виправлень” «згадане вище», — написав Фройнд у своїй книзі. аналізпісля зв’язування кількох рішень, створених JiaT75.
JiaT75 було знайоме ім’я: вони деякий час працювали разом із оригінальним розробником формату файлів .xz, Лассе Колліном. Як зазначив у своїй книзі програміст Росс Кокс розкладJiaT75 почав надсилати, здавалося б, законні виправлення до списку розсилки XZ у жовтні 2021 року.
Інші частини схеми були розкриті через кілька місяців, оскільки дві інші особистості, Джигар Кумар і Денніс Інс, Скарги почали надходити електронною поштою Коліну про помилки та повільний розвиток проекту. Однак, як зазначається в звітах Еван Бухс Інші, «Кумар» та «Інс», ніколи не були помічені за межами спільноти XZ, що змушує слідчих вважати, що вони обидва є підробками, які існують лише для того, щоб допомогти Цзя Тану отримати доступ до свого місцезнаходження та доставити код бекдору.
“Мені шкода через ваші проблеми з психічним здоров'ям, але важливо знати про свої обмеження. “Я розумію, що це хобі для всіх учасників, але спільнота хоче більшого”, – написав Інс в одному з повідомлень, а Кумар сказав у інший: «Прогресу не буде». Поки не буде нового керівника».
Поміж того й назад Коллінз написав: «Я не втратив інтересу, але моя здатність піклуватися була дещо обмежена через довготривалі проблеми з психічним здоров’ям, а також деякі інші речі», і запропонував Цзя Тану взяти на себе більшу роль. «Також добре мати на увазі, що це неоплачуваний проект для хобі», — підсумував він. Електронні листи від Кумара та Енса тривали, доки Тан не було додано модератором пізніше того ж року, щоб мати змогу вносити зміни та намагатися впровадити бекдор-пакет у дистрибутиви Linux з більшими повноваженнями.
Інцидент із бекдором xz та його наслідки є прикладом краси відкритого коду та неймовірної вразливості інфраструктури Інтернету.
Розробник FFmpeg, популярного мультимедійного пакета з відкритим кодом, висвітлив проблему У твіті«Фіаско xz показало, як покладання на неоплачуваних волонтерів може спричинити серйозні проблеми. Компанії з трильйонними доларами очікують безкоштовної термінової підтримки від волонтерів. Вони принесли квитанції, в яких зазначено, як вони впоралися з «високопріоритетною» помилкою, що вплинула на Microsoft Teams.
Незважаючи на те, що Microsoft покладається на своє програмне забезпечення, розробник написав: «Після ввічливого запиту на контракт підтримки від Microsoft на довгострокове обслуговування, вони запропонували натомість одноразовий платіж у розмірі кількох тисяч доларів… Інвестиції в технічне обслуговування та стійкість є непривабливими та менеджер середньої ланки, ймовірно, цього не отримає”. За його підвищення він навіть заплатить йому тисячу разів протягом багатьох років.
Деталі про те, хто стоїть за JiaT75, як буде реалізовуватися їхній план і масштаби збитків, були розкриті армією розробників і фахівців з кібербезпеки як у соціальних мережах, так і на онлайн-форумах. Але це відбувається без прямої фінансової підтримки багатьох компаній і організацій, які отримують вигоду від можливості використання безпечного програмного забезпечення.
“Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач”
/cdn.vox-cdn.com/uploads/chorus_asset/file/24884362/Starfield_04_Mountains.png)
/cdn.vox-cdn.com/uploads/chorus_asset/file/25415491/DSC08587.JPG)
