وبلاگ

یک عامل تهدید بی سر و صدا دو سال گذشته را صرف ادغام با تیم اصلی حامیان XZ Utils کرده است، یک نرم افزار فشرده سازی داده خط فرمان رایگان که به طور گسترده در سیستم های لینوکس استفاده می شود. مهاجم به آرامی موفق شد یک درب پشتی را در نرم افزاری که برای تداخل با SSHD و اجازه اجرای کد از راه دور از طریق گواهی ورود به سیستم SSH طراحی شده بود، ادغام کند. درب پشتی چند روز قبل از انتشار آن در چندین سیستم لینوکس در سراسر جهان کشف شد.

اعتقاد بر این است که این تهدید یک توسعه دهنده با نام جیان تان یا استفاده از آن است. چندین کارشناس امنیتی معتقدند این حمله زنجیره تامین ممکن است توسط دولت صورت گرفته باشد.

XZ Utils چیست و XZ backdoor چیست؟

XZ Utils و کتابخانه اصلی آن liblzma یک ابزار نرم افزار رایگان است که هر دو XZ و LZMA را پیاده سازی می کند، که دو الگوریتم فشرده سازی/فشرده سازی هستند که به طور گسترده در سیستم های مبتنی بر یونیکس، از جمله سیستم های لینوکس استفاده می شوند. XZ Utils توسط بسیاری از عملیات در این سیستم ها برای فشرده سازی و از حالت فشرده سازی داده ها استفاده می شود.

درپشتی CVE-2024-3094 موجود در XZ Utils برای جلوگیری از احراز هویت در SSHD، نرم افزار سرور OpenSSH که اتصالات SSH را مدیریت می کند، پیاده سازی شده است. درپشتی به مهاجم اجازه می دهد تا کد راه دور را از طریق گواهی ورود به سیستم SSH اجرا کند. فقط نسخه های XZ Utils 5.6.0 و 5.6.1 تحت تأثیر قرار می گیرند.

چگونه درب پشتی XZ در طول سال ها با احتیاط اجرا شد

در 29 مارس 2024، مهندس نرم افزار مایکروسافت آندرس فروند از کشف درب پشتی خبر داد. زمانی که به رفتارهای عجیب نصب Debian Sid علاقه مند شد، مانند ورود به سیستم SSH و خطاهای Valgrind زیاد، آن را کشف کرد و تصمیم گرفت علائم را عمیقاً تجزیه و تحلیل کند. فروند توضیح داد که کشف درب پشتی در XZ خوش شانس بود زیرا “واقعاً به تصادفات زیادی نیاز دارد.”

با این حال، به نظر می رسد اجرای درب پشتی فرآیندی بسیار آرام بوده است که حدود دو سال طول کشید. در سال 2021، توسعه‌دهنده‌ای به نام Jian Tan، با نام کاربری JiaT75، به‌طور غیرمنتظره‌ای ظاهر شد که کار روی کد XZ Utils را آغاز کرد، که غیرعادی نیست زیرا توسعه‌دهندگان نرم‌افزار رایگان اغلب با هم همکاری می‌کنند تا کد را به‌روزرسانی کنند. Tan از اواخر سال 2021 مکرراً در پروژه XZ مشارکت داشته است و به آرامی اعتماد را در جامعه ایجاد می کند.

در می 2022، یک کاربر ناشناس با استفاده از نام جعلی Dennis Ens در لیست پستی XZ شکایت کرد که به روز رسانی نرم افزار رضایت بخش نبود. یکی دیگر از کاربران ناشناس، Jigar Kumar، دو بار وارد بحث شد تا توسعه دهنده اصلی XZ Utils، Lasse Collin را تحت فشار قرار دهد تا یک نگهدارنده به پروژه اضافه کند. جیگر کومار می نویسد: «تا زمانی که یک نگهدار جدید وجود نداشته باشد، پیشرفت اتفاق نخواهد افتاد. “چرا برای تغییر نگهدارنده تا 5.4.0 صبر کنیم؟ چرا آنچه را که مخزن شما نیاز دارد به تأخیر بیندازید؟»

در همین حال، کالین بیان کرد که “جیا تان به من کمک کرد تا با XZ Utils از لیست خارج شوم و او ممکن است در آینده حداقل با XZ Utils نقش بزرگتری داشته باشد. واضح است که منابع من بسیار محدود است (از این رو ایمیل‌های زیادی در انتظار پاسخ هستند) بنابراین چیزی باید در دراز مدت تغییر کند.» (کالین در پیام خود جیا نوشت، در حالی که پیام‌های دیگر به جیان اشاره می‌کنند. برای اضافه کردن به سردرگمی، نام مستعار جیان JiaT75 است. .)

در ماه‌های بعد، تان به طور فزاینده‌ای در XZ Utils فعال شد و یکی از سرپرستان پروژه شد. در فوریه 2024، Tan برای نسخه های 5.6.0 و 5.6.1 XZ Utils تعهداتی صادر کرد که هر دو شامل درب پشتی بودند.

همچنین جالب است بدانید که در جولای 2023، Tan درخواست کرد که ifunc (یک تابع غیرمستقیم گنو) در oss-fuzz، یک ابزار عمومی طراحی شده برای شناسایی آسیب‌پذیری‌ها در نرم‌افزار، غیرفعال شود. این عملیات احتمالاً به این دلیل انجام شده است که به درب پشتی XZ اجازه می دهد پس از آزاد شدن، شناسایی نشده باقی بماند، زیرا درب پشتی از این ویژگی برای رسیدن به اهداف خود استفاده می کند.

در نهایت، مهاجم با چندین فرد مسئول توزیع‌های مختلف لینوکس تماس گرفته است تا پشتیبان‌های XZ Utils را در توزیع‌های خود بگنجانند. ریچارد دبلیو ام جونز از RedHat در مورد آن در یک فروم نوشت: “بسیار آزاردهنده – نویسنده ظاهری درپشتی چندین هفته است که با من در ارتباط بوده و سعی دارد xz 5.6.x را به فدورا 40 و 41 اضافه کند زیرا “توابع جدید بسیار خوبی وجود دارد”. ”. ما حتی با او کار کردیم تا مشکل valgrind را برطرف کنیم (که اکنون معلوم شده است که یک درب پشتی ایجاد شده است که او اضافه کرد). دیشب مجبور شدیم برای رفع مشکل پس از یک شکست ناخواسته تحریم مسابقه بدهیم. 2 سال است که بخشی از پروژه xz بوده و انواع باینری های آزمایشی را اضافه کرده است، و صادقانه بگویم، با این سطح از پیچیدگی، تا زمانی که خلاف آن ثابت نشود، حتی به نسخه های قدیمی تر xz مشکوک خواهم بود. Tan همچنین سعی کرد آن را در اوبونتو قرار دهد.

XZ backdoor: یک حمله بسیار فنی

علاوه بر مهندسی اجتماعی بسیار توسعه یافته که قبلا در این مقاله مورد بحث قرار گرفت، درب پشتی خود بسیار پیچیده است.

پژوهشگر ارشد تهدیدات مایکروسافت توماس روچیا اینفوگرافیک ها را طراحی و منتشر می کند برای نشان دادن کل عملیات منتهی به CVE-2024-3094 (شکل A).

شکل A

درب پشتی شامل چندین بخش است که در چندین کامیت XZ Utils GitHub گنجانده شده است که توسط فروند به طور کامل شرح داده شده است.

Gynvael Coldwind، مدیر عامل HexArcana Cybersecurity GmbH، یک شرکت مشاوره و آموزش امنیت سایبری، در تحلیلی دقیق از درپشتی نوشت که «کسی تمام تلاش خود را کرد تا آن را کاملاً بی‌گناه و به خوبی پنهان کرده باشد. از باینری‌های آزمایشی که برای ذخیره بارها استفاده می‌شوند، تا برش فایل‌ها، رمزهای جایگزین و نوع RC4 پیاده‌سازی شده در AWK، همه فقط با ابزارهای خط فرمان استاندارد انجام می‌شوند. و همه اینها در 3 مرحله اجرا و با یک سیستم “بسط” برای چیزهای آینده بدون نیاز به تغییر مجدد باینری های آزمایشی.”

دانلود کنید: دیکشنری منبع باز سریع از TechRepublic Premium

مارتین زوگک، مدیر راه‌حل‌های فنی بیت دیفندر، در بیانیه‌ای که به TechRepublic ارائه شده است، گفت: «به نظر می‌رسد این یک حمله با دقت برنامه‌ریزی‌شده و چند ساله است که احتمالاً توسط یک بازیگر دولتی پشتیبانی می‌شود. با توجه به تلاش‌های گسترده و شیوع کم سیستم‌های آسیب‌پذیری که می‌بینیم، عوامل تهدید باید در حال حاضر به شدت ناراضی باشند که سلاح جدید آن‌ها قبل از اینکه بتواند به طور گسترده توزیع شود، کشف شده است.

کدام سیستم عامل ها تحت تأثیر درب پشتی XZ قرار می گیرند؟

به لطف کشف فروند، حمله قبل از اینکه در مقیاس وسیع تری گسترش یابد متوقف شد. شرکت امنیت سایبری Tenable سیستم‌عامل‌های زیر را که تحت تأثیر درب پشتی XZ شناخته شده‌اند، افشا کرده است:

• فدورا راوید.
• فدورا 40 بتا.
• فدورا 41.
• تست دبیان، توزیع های ناپایدار و آزمایشی، نسخه های 5.5.1alpha-01 تا 5.6.1-1.
• openSUSE Tumbleweed.
• OpenSUSE MicroOS.
• کالی لینوکس.
• آرچ لینوکس.

در یک پست وبلاگ، Red Hat گزارش داد که هیچ نسخه ای از Red Hat Enterprise Linux تحت تأثیر CVE-2024-3094 قرار نگرفته است.

دبیان نشان داد که هیچ نسخه پایداری از توزیع تحت تأثیر قرار نگرفته است، و اوبونتو ارسال کرد که هیچ نسخه منتشر شده از اوبونتو تحت تأثیر قرار نگرفته است.

مدیر بسته homebrew MacOS XZ را از 5.6.x به 5.4.6 برگرداند، نسخه ای قدیمی اما ایمن. بو اندرسون، نگهدارنده و عضو کمیته راهبری فنی Homebrew، اظهار داشت که Homebrew «… معتقد نیست که ساخت‌های Homebrew به خطر افتاده است (درپشتی فقط برای ساخت‌های deb و rpm اعمال می‌شود)، اما 5.6.x از قبل غیرقابل اعتماد تلقی می‌شود و به عنوان یک اقدام احتیاطی، ما در حال کاهش به 5.4.6 هستیم.”

نحوه کاهش و محافظت در برابر این تهدید درب پشتی XZ

سیستم‌های بیشتری ممکن است تحت تأثیر قرار گیرند، به‌ویژه سیستم‌هایی که توسعه‌دهندگان نسخه‌های آسیب‌پذیر XZ را روی آن‌ها کامپایل کرده‌اند. شرکت امنیتی Binarly یک ابزار تشخیص آنلاین ارائه می دهد که می تواند برای آزمایش سیستم ها استفاده شود تا ببیند آیا تحت تأثیر درب پشتی XZ قرار می گیرند یا خیر.

نسخه XZ باید به دقت بررسی شود، زیرا نسخه های 5.6.0 و 5.6.1 حاوی درب پشتی هستند. توصیه می شود به نسخه ایمن شناخته شده قبلی XZ Utils مانند 5.4 برگردید.

حملات به زنجیره تامین نرم افزار در حال افزایش است

همانطور که قبلا در TechRepublic گزارش شده بود، حملات به زنجیره تامین نرم افزار به طور فزاینده ای توسط تهدیدات مورد استفاده قرار می گیرند.

با این حال، حملات متداول در زنجیره تامین نرم‌افزار عمدتاً شامل مدیریت به خطر انداختن یک حساب کلیدی در فرآیند توسعه نرم‌افزار و استفاده از حساب برای انتقال محتوای مخرب به نرم‌افزار قانونی است که اغلب به سرعت شناسایی می‌شود. در مورد XZ Utils، بسیار متفاوت است، زیرا تهدید با دقت موفق شد اعتماد توسعه دهندگان قانونی را به دست آورد و به یکی از نگهبانان ابزار تبدیل شود، که به آن اجازه می دهد تا به آرامی قطعات آسیب پذیر مختلف را بدون توجه به نرم افزار وارد کند.

حملات زنجیره تامین نرم افزار تنها تهدیدهای رو به رشد نیستند. سایر حملات زنجیره تامین مبتنی بر محصولات فناوری اطلاعات نیز در حال افزایش است.

بنابراین، شرکت ها باید اطمینان حاصل کنند که اشخاص ثالث در نظارت بر سطح حمله خود در نظر گرفته می شوند.

افشاگری: من برای Trend Micro کار می کنم، اما نظرات بیان شده در این مقاله نظر من است.