/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg)
Linux, pasaulē visplašāk izmantotā atvērtā pirmkoda operētājsistēma, Lieldienu nedēļas nogalē tikai nedaudz izvairījās no masveida kiberuzbrukuma, pateicoties kādam brīvprātīgajam.
Aizmugures durvis ir iekļautas jaunākajā Linux saspiešanas formāta versijā ar nosaukumu XZ Utils, kas ir maz zināms ārpus Linux pasaules, bet tiek izmantots gandrīz katrā Linux izplatīšanā lielu failu saspiešanai, padarot tos vieglāk pārsūtāmus. Ja vīruss būtu izplatījies plašāk, neskaitāmas sistēmas varētu būt neaizsargātas gadiem ilgi.
Un kā Ars Technica pamanīja iekšā Visaptverošs kopsavilkumsVainīgais strādāja pie projekta publiski.
Ievainojamība, kas tika ieviesta Linux attālajā pieteikumā, tika pakļauta tikai vienai atslēgai, tāpēc tā varēja paslēpties no publiskas datoru skenēšanas. patīk raksta Bens Tompsons Strachry. “Lielākā daļa pasaules datoru būs neaizsargāti, un neviens to nezinās.”
Stāsts par XZ aizmugures durvju atklāšanu sākas 29. marta agrā rītā, kad Sanfrancisko bāzētais Microsoft izstrādātājs Anders Freunds ievietojis Mastodon un Es nosūtīju e-pastu Uz OpenWall drošības adresātu sarakstu ar nosaukumu: “xz/liblzma upstream backdoor noved pie ssh servera kompromisa.”
Freunds, kurš brīvprātīgi strādā kā “uzraugs” PostgreSQL, uz Linux balstītā datubāzē, pēdējo nedēļu laikā, veicot testus, pamanīja dažas dīvainas lietas. Šifrētie pieteikumi liblzma, kas ir daļa no XZ saspiešanas bibliotēkas, patērēja ievērojamu CPU daudzumu. Neviens no viņa izmantotajiem veiktspējas rīkiem neko neatklāja,” žurnālā Mastodon rakstīja Freunds. Tas uzreiz izraisīja viņa aizdomas, un viņš atcerējās “dīvainu sūdzību” no Postgres lietotāja dažas nedēļas iepriekš par Valgrind, Linux programmu, kas pārbauda atmiņas kļūdas.
Pēc nelielas izmeklēšanas Freunds galu galā atklāja, kas bija nepareizi. “XZ Warehouse un XZ Tar Balls ir slēgti,” savā e-pastā atzīmēja Freunds. Ļaunprātīgais kods bija xz rīku un bibliotēku versijās 5.6.0 un 5.6.1.
Neilgi pēc tam atvērtā pirmkoda programmatūras uzņēmums Red Hat nosūtīja ziņojumu Ārkārtas drošības brīdinājums Fedora Rawhide un Fedora Linux 40 lietotājiem. Galu galā uzņēmums secināja, ka Fedora Linux 40 beta versija satur divas ietekmētās xz bibliotēku versijas. Iespējams, ka Fedora Rawhide versijas saņēma arī versijas 5.6.0 vai 5.6.1.
Lūdzu, nekavējoties pārtrauciet izmantot FEDORA RAWHIDE produktus biznesa vai personiskām darbībām. Fedora Rawhide drīzumā tiks atgriezts uz xz-5.4.x, un, tiklīdz tas būs izdarīts, Fedora Rawhide gadījumus varēs droši atkārtoti izvietot.
Lai gan Debian, bezmaksas Linux izplatīšanas, beta versijā ir paketes, kuras ir apdraudējusi tās drošības komanda Es rīkojos ātri Lai atgrieztos pie viņiem. “Šobrīd netiek ietekmēta neviena stabila Debian versija,” piektdienas vakarā drošības brīdinājumā lietotājiem rakstīja Debian pārstāvis Salvatore Bonaccorso.
Vēlāk Freunds identificēja personu, kas nosūtīja ļaunprātīgo kodu, kā vienu no diviem vadošajiem xz Utils izstrādātājiem, kas pazīstami kā JiaT75 vai Jia Tan. “Ņemot vērā, ka darbība norisinās jau vairākas nedēļas, vainīgais bija vai nu tieši iesaistīts, vai arī viņa sistēma bija nopietni apdraudēta. Diemžēl pēdējais šķiet mazākais izskaidrojums, ņemot vērā to, ka viņi runāja dažādos labojumu sarakstos Iepriekš minēts,” savā grāmatā rakstīja Freunds. analīzepēc vairāku JiaT75 izstrādāto risinājumu saistīšanas.
JiaT75 bija pazīstams nosaukums: viņi kādu laiku strādāja kopā ar sākotnējo .xz faila formāta izstrādātāju Lasse Collin. Kā savā grāmatā norādīja programmētājs Ross Kokss sarakstsJiaT75 sāka sūtīt šķietami likumīgus ielāpus XZ adresātu sarakstam 2021. gada oktobrī.
Dažus mēnešus vēlāk tika atklātas citas shēmas daļas kā divas citas identitātes, Džigars Kumars un Deniss Ince, Sūdzības ir sāktas sūtīt pa e-pastu Kolinam par projekta kļūdām un lēno attīstību. Tomēr, kā norādīts pārskatos Evans Buhs Citi, “Kumar” un “Ins” nekad nav redzēti ārpus XZ kopienas, liekot izmeklētājiem uzskatīt, ka tie abi ir viltojumi, kas pastāv tikai, lai palīdzētu Dzja Tanam piekļūt savai atrašanās vietai, lai piegādātu aizmugures durvju kodu.
“Es atvainojos par jūsu garīgās veselības problēmām, taču ir svarīgi apzināties savas robežas. “Es saprotu, ka šis ir hobija projekts visiem atbalstītājiem, bet sabiedrība vēlas vairāk,” Ince rakstīja vienā ziņojumā, savukārt Kumars sacīja cits: “Progress nenotiks.” Kamēr nebūs jauns vadītājs.
Turp un atpakaļ Kolinss rakstīja: “Es neesmu zaudējis interesi, taču manas spējas rūpēties ir nedaudz ierobežotas ilgstošu garīgās veselības problēmu, kā arī dažu citu iemeslu dēļ,” un ieteica Dzja Tanu uzņemties lielāku lomu. “Ir labi arī paturēt prātā, ka šis ir neapmaksāts hobija projekts,” viņš secināja. E-pasta ziņojumi no Kumar un Ens turpinājās, līdz Tan tika pievienots kā moderators vēlāk tajā pašā gadā, lai varētu veikt modifikācijas un mēģināt ieviest backdoor pakotni Linux izplatījumos ar lielāku autoritāti.
Xz backdoor incidents un tā sekas ir atvērtā koda skaistuma un interneta infrastruktūras neticamās ievainojamības piemērs.
Populāras atvērtā pirmkoda multivides pakotnes FFmpeg izstrādātājs ir uzsvēris šo problēmu Tvītā“Xz fiasko parādīja, kā paļaušanās uz neapmaksātiem brīvprātīgajiem var radīt lielas problēmas. Triljoniem dolāru vērti uzņēmumi sagaida bezmaksas, steidzamu atbalstu no brīvprātīgajiem. Viņi atnesa kvītis, kurās norādīts, kā viņi apstrādāja” augstas prioritātes” kļūdu, kas ietekmē Microsoft Teams.
Neskatoties uz to, ka Microsoft paļaujas uz savu programmatūru, izstrādātājs rakstīja: “Pēc tam, kad Microsoft pieklājīgi pieprasīja atbalsta līgumu par ilgtermiņa apkopi, viņi tā vietā piedāvāja vienreizēju maksājumu dažu tūkstošu dolāru apmērā… Ieguldījumi uzturēšanā un ilgtspējībā nav pievilcīgi un vidējā līmeņa vadītājs, iespējams, to nesaņems.” Par viņa paaugstināšanu amatā viņš viņam pat maksās tūkstoš reižu daudzu gadu laikā.
Sīkāku informāciju par to, kas ir aiz JiaT75, kā tiks īstenots viņu plāns, un kaitējuma apmēru, ir atklājusi izstrādātāju un kiberdrošības profesionāļu armija gan sociālajos medijos, gan tiešsaistes forumos. Taču tas notiek bez tieša finansiāla atbalsta no daudziem uzņēmumiem un organizācijām, kas gūst labumu no iespējas izmantot drošu programmatūru.
