Как волонтер не позволил бэкдору раскрыть системы Linux по всему миру

Linux, наиболее широко используемая в мире операционная система с открытым исходным кодом, едва избежала масштабной кибератаки в пасхальные выходные, и все это благодаря волонтеру.

Бэкдор включен в последнюю версию формата сжатия Linux под названием XZ Utils — инструмент, малоизвестный за пределами мира Linux, но используемый почти в каждом дистрибутиве Linux для сжатия больших файлов, что упрощает их передачу. Если бы вирус распространился более широко, бесчисленные системы могли бы оставаться уязвимыми в течение многих лет.

И в качестве Арс Техника заметил в Подробное резюмеПреступник работал над проектом публично.

Уязвимость, появившаяся в удаленном входе в систему Linux, открывалась только с помощью одного ключа, поэтому ее можно было скрыть от общедоступного сканирования компьютеров. нравиться Бен Томпсон пишет Стрэкри. «Большинство компьютеров в мире будут уязвимы, и никто об этом не узнает».

История обнаружения бэкдора XZ начинается ранним утром 29 марта, когда разработчик Microsoft из Сан-Франциско Андерс Фройнд опубликовал на Mastodon и я послал письмо В список рассылки по безопасности OpenWall с заголовком: «Бэкдор xz/liblzma приводит к компрометации ssh-сервера».

Фройнд, который работает волонтером в качестве «супервайзера» в PostgreSQL, базе данных на базе Linux, за последние несколько недель во время проведения тестов заметил некоторые странные вещи. Зашифрованный вход в liblzma, часть библиотеки сжатия XZ, потреблял значительное количество ресурсов ЦП. Ни один из инструментов производительности, которые он использовал, ничего не выявил», — написал Фрейнд в Mastodon. Это сразу же вызвало у него подозрения, и он вспомнил «странную жалобу» пользователя Postgres, поданную несколькими неделями ранее на Valgrind, программу для Linux, которая проверяет наличие ошибок в памяти.

После некоторого расследования Фройнд в конце концов обнаружил, в чем дело. «XZ Warehouse и XZ Tar Balls закрылись», — отметил Фройнд в своем электронном письме. Вредоносный код присутствовал в инструментах и ​​библиотеках xz версий 5.6.0 и 5.6.1.

Вскоре после этого компания Red Hat, занимающаяся программным обеспечением с открытым исходным кодом, отправила сообщение Экстренное оповещение безопасности Для пользователей Fedora Rawhide и Fedora Linux 40. В конечном итоге компания пришла к выводу, что бета-версия Fedora Linux 40 содержит две уязвимые версии библиотек xz. Возможно, версии Fedora Rawhide также получили версии 5.6.0 или 5.6.1.

Пожалуйста, немедленно прекратите использование любых продуктов FEDORA RAWHIDE в деловых или личных целях. Вскоре Fedora Rawhide будет откачена до xz-5.4.x, и как только это будет сделано, экземпляры Fedora Rawhide можно будет безопасно повторно развернуть.

Хотя бета-версия Debian, бесплатного дистрибутива Linux, содержит пакеты, скомпрометированные его командой безопасности. Я действовал быстро Чтобы вернуться к ним. «В настоящее время никакие стабильные версии Debian не затронуты», — написал Сальваторе Бонаккорсо из Debian в предупреждении безопасности для пользователей в пятницу вечером.

Позже Фрейнд опознал человека, отправившего вредоносный код, как одного из двух ведущих разработчиков xz Utils, известных как JiaT75 или Jia Tan. «Учитывая, что деятельность продолжалась несколько недель, преступник был либо непосредственно вовлечен, либо имел место серьезный компрометация их системы. К сожалению, последнее кажется наименее вероятным объяснением, учитывая, что они говорили в разных списках «исправлений» упомянуто выше», — написал Фрейнд в своей книге. анализпосле объединения нескольких решений, созданных JiaT75.

Имя JiaT75 было знакомым: какое-то время они работали вместе с первоначальным разработчиком формата файла .xz Лассе Коллином. Как отметил в своей книге программист Росс Кокс РасписаниеJiaT75 начал рассылать, казалось бы, законные исправления в список рассылки XZ в октябре 2021 года.

Другие участники схемы были раскрыты несколько месяцев спустя, когда двое других личностей, Джигар Кумар и Деннис Инс, Жалобы начали присылать по электронной почте. Колину об ошибках и медленном развитии проекта. Однако, как отмечается в отчетах Эван Бухс Других, «Кумар» и «Инс», никогда не видели за пределами сообщества XZ, что заставляет следователей полагать, что они оба — фальшивки, которые существуют только для того, чтобы помочь Цзя Тану получить доступ к его местоположению и доставить бэкдор-код.

«Мне жаль, что у вас проблемы с психическим здоровьем, но важно осознавать свои пределы. Я понимаю, что это хобби-проект для всех участников, но сообщество хочет большего», — написал Инс в одном сообщении, а Кумар сказал в другой: «Прогресса не будет», пока не будет нового руководителя».

В ходе разговоров Коллинз написал: «Я не потерял интереса, но моя способность заботиться была несколько ограничена из-за долгосрочных проблем с психическим здоровьем, а также из-за некоторых других причин», и предложил Цзя Тань взять на себя более значительную роль. «Также полезно помнить, что это неоплачиваемый хобби-проект», — заключил он. Письма от Кумара и Энса продолжались до тех пор, пока в том же году Тан не был назначен модератором, чтобы иметь возможность вносить изменения и пытаться внедрить пакет бэкдора в дистрибутивы Linux с большей властью.

Инцидент с бэкдором xz и его последствия являются примером красоты открытого исходного кода и невероятной уязвимости инфраструктуры Интернета.

Разработчик FFmpeg, популярного медиа-пакета с открытым исходным кодом, подчеркнул проблему. В твиттере«Фиаско xz показало, что использование неоплачиваемых волонтеров может вызвать серьезные проблемы. Компании с оборотом в триллион долларов ожидают от добровольцев бесплатной и срочной поддержки. Они принесли квитанции, показывающие, как они справились с «высокоприоритетной» ошибкой, затронувшей Microsoft Teams.

Несмотря на зависимость Microsoft от своего программного обеспечения, разработчик написал: «После вежливого запроса у Microsoft контракта на поддержку для долгосрочного обслуживания они вместо этого предложили единовременный платеж в несколько тысяч долларов… Инвестиции в обслуживание и устойчивое развитие непривлекательны и Менеджер среднего звена, вероятно, этого не получит». За свое повышение он даже заплатит ему тысячу раз в течение многих лет.

Подробности о том, кто стоит за JiaT75, как будет осуществляться их план и масштабы ущерба, были раскрыты армией разработчиков и специалистов по кибербезопасности как в социальных сетях, так и на онлайн-форумах. Но это происходит без прямой финансовой поддержки со стороны многих компаний и организаций, которые получают выгоду от возможности использовать безопасное программное обеспечение.