یک عامل تهدید بی سر و صدا دو سال گذشته را صرف ادغام با تیم اصلی حامیان XZ Utils کرده است، یک نرم افزار فشرده سازی داده خط فرمان رایگان که به طور گسترده در سیستم های لینوکس استفاده می شود. مهاجم به آرامی موفق شد یک درب پشتی را در نرم افزاری که برای تداخل با SSHD و اجازه اجرای کد از راه دور از طریق گواهی ورود به سیستم SSH طراحی شده بود، ادغام کند. درب پشتی چند روز قبل از انتشار آن در چندین سیستم لینوکس در سراسر جهان کشف شد.
اعتقاد بر این است که این تهدید یک توسعه دهنده با نام جیان تان یا استفاده از آن است. چندین کارشناس امنیتی معتقدند این حمله زنجیره تامین ممکن است توسط دولت صورت گرفته باشد.
XZ Utils چیست و XZ backdoor چیست؟
XZ Utils و کتابخانه اصلی آن liblzma یک ابزار نرم افزار رایگان است که هر دو XZ و LZMA را پیاده سازی می کند، که دو الگوریتم فشرده سازی/فشرده سازی هستند که به طور گسترده در سیستم های مبتنی بر یونیکس، از جمله سیستم های لینوکس استفاده می شوند. XZ Utils توسط بسیاری از عملیات در این سیستم ها برای فشرده سازی و از حالت فشرده سازی داده ها استفاده می شود.
درپشتی CVE-2024-3094 موجود در XZ Utils برای جلوگیری از احراز هویت در SSHD، نرم افزار سرور OpenSSH که اتصالات SSH را مدیریت می کند، پیاده سازی شده است. درپشتی به مهاجم اجازه می دهد تا کد راه دور را از طریق گواهی ورود به سیستم SSH اجرا کند. فقط نسخه های XZ Utils 5.6.0 و 5.6.1 تحت تأثیر قرار می گیرند.
چگونه درب پشتی XZ در طول سال ها با احتیاط اجرا شد
در 29 مارس 2024، مهندس نرم افزار مایکروسافت آندرس فروند از کشف درب پشتی خبر داد. زمانی که به رفتارهای عجیب نصب Debian Sid علاقه مند شد، مانند ورود به سیستم SSH و خطاهای Valgrind زیاد، آن را کشف کرد و تصمیم گرفت علائم را عمیقاً تجزیه و تحلیل کند. فروند توضیح داد که کشف درب پشتی در XZ خوش شانس بود زیرا “واقعاً به تصادفات زیادی نیاز دارد.”
با این حال، به نظر می رسد اجرای درب پشتی فرآیندی بسیار آرام بوده است که حدود دو سال طول کشید. در سال 2021، توسعهدهندهای به نام Jian Tan، با نام کاربری JiaT75، بهطور غیرمنتظرهای ظاهر شد که کار روی کد XZ Utils را آغاز کرد، که غیرعادی نیست زیرا توسعهدهندگان نرمافزار رایگان اغلب با هم همکاری میکنند تا کد را بهروزرسانی کنند. Tan از اواخر سال 2021 مکرراً در پروژه XZ مشارکت داشته است و به آرامی اعتماد را در جامعه ایجاد می کند.
در می 2022، یک کاربر ناشناس با استفاده از نام جعلی Dennis Ens در لیست پستی XZ شکایت کرد که به روز رسانی نرم افزار رضایت بخش نبود. یکی دیگر از کاربران ناشناس، Jigar Kumar، دو بار وارد بحث شد تا توسعه دهنده اصلی XZ Utils، Lasse Collin را تحت فشار قرار دهد تا یک نگهدارنده به پروژه اضافه کند. جیگر کومار می نویسد: «تا زمانی که یک نگهدار جدید وجود نداشته باشد، پیشرفت اتفاق نخواهد افتاد. “چرا برای تغییر نگهدارنده تا 5.4.0 صبر کنیم؟ چرا آنچه را که مخزن شما نیاز دارد به تأخیر بیندازید؟»
در همین حال، کالین بیان کرد که “جیا تان به من کمک کرد تا با XZ Utils از لیست خارج شوم و او ممکن است در آینده حداقل با XZ Utils نقش بزرگتری داشته باشد. واضح است که منابع من بسیار محدود است (از این رو ایمیلهای زیادی در انتظار پاسخ هستند) بنابراین چیزی باید در دراز مدت تغییر کند.» (کالین در پیام خود جیا نوشت، در حالی که پیامهای دیگر به جیان اشاره میکنند. برای اضافه کردن به سردرگمی، نام مستعار جیان JiaT75 است. .)
در ماههای بعد، تان به طور فزایندهای در XZ Utils فعال شد و یکی از سرپرستان پروژه شد. در فوریه 2024، Tan برای نسخه های 5.6.0 و 5.6.1 XZ Utils تعهداتی صادر کرد که هر دو شامل درب پشتی بودند.
همچنین جالب است بدانید که در جولای 2023، Tan درخواست کرد که ifunc (یک تابع غیرمستقیم گنو) در oss-fuzz، یک ابزار عمومی طراحی شده برای شناسایی آسیبپذیریها در نرمافزار، غیرفعال شود. این عملیات احتمالاً به این دلیل انجام شده است که به درب پشتی XZ اجازه می دهد پس از آزاد شدن، شناسایی نشده باقی بماند، زیرا درب پشتی از این ویژگی برای رسیدن به اهداف خود استفاده می کند.
در نهایت، مهاجم با چندین فرد مسئول توزیعهای مختلف لینوکس تماس گرفته است تا پشتیبانهای XZ Utils را در توزیعهای خود بگنجانند. ریچارد دبلیو ام جونز از RedHat در مورد آن در یک فروم نوشت: “بسیار آزاردهنده – نویسنده ظاهری درپشتی چندین هفته است که با من در ارتباط بوده و سعی دارد xz 5.6.x را به فدورا 40 و 41 اضافه کند زیرا “توابع جدید بسیار خوبی وجود دارد”. ”. ما حتی با او کار کردیم تا مشکل valgrind را برطرف کنیم (که اکنون معلوم شده است که یک درب پشتی ایجاد شده است که او اضافه کرد). دیشب مجبور شدیم برای رفع مشکل پس از یک شکست ناخواسته تحریم مسابقه بدهیم. 2 سال است که بخشی از پروژه xz بوده و انواع باینری های آزمایشی را اضافه کرده است، و صادقانه بگویم، با این سطح از پیچیدگی، تا زمانی که خلاف آن ثابت نشود، حتی به نسخه های قدیمی تر xz مشکوک خواهم بود. Tan همچنین سعی کرد آن را در اوبونتو قرار دهد.
XZ backdoor: یک حمله بسیار فنی
علاوه بر مهندسی اجتماعی بسیار توسعه یافته که قبلا در این مقاله مورد بحث قرار گرفت، درب پشتی خود بسیار پیچیده است.
پژوهشگر ارشد تهدیدات مایکروسافت توماس روچیا اینفوگرافیک ها را طراحی و منتشر می کند برای نشان دادن کل عملیات منتهی به CVE-2024-3094 (شکل A).
شکل A
درب پشتی شامل چندین بخش است که در چندین کامیت XZ Utils GitHub گنجانده شده است که توسط فروند به طور کامل شرح داده شده است.
Gynvael Coldwind، مدیر عامل HexArcana Cybersecurity GmbH، یک شرکت مشاوره و آموزش امنیت سایبری، در تحلیلی دقیق از درپشتی نوشت که «کسی تمام تلاش خود را کرد تا آن را کاملاً بیگناه و به خوبی پنهان کرده باشد. از باینریهای آزمایشی که برای ذخیره بارها استفاده میشوند، تا برش فایلها، رمزهای جایگزین و نوع RC4 پیادهسازی شده در AWK، همه فقط با ابزارهای خط فرمان استاندارد انجام میشوند. و همه اینها در 3 مرحله اجرا و با یک سیستم “بسط” برای چیزهای آینده بدون نیاز به تغییر مجدد باینری های آزمایشی.”
دانلود کنید: دیکشنری منبع باز سریع از TechRepublic Premium
مارتین زوگک، مدیر راهحلهای فنی بیت دیفندر، در بیانیهای که به TechRepublic ارائه شده است، گفت: «به نظر میرسد این یک حمله با دقت برنامهریزیشده و چند ساله است که احتمالاً توسط یک بازیگر دولتی پشتیبانی میشود. با توجه به تلاشهای گسترده و شیوع کم سیستمهای آسیبپذیری که میبینیم، عوامل تهدید باید در حال حاضر به شدت ناراضی باشند که سلاح جدید آنها قبل از اینکه بتواند به طور گسترده توزیع شود، کشف شده است.
کدام سیستم عامل ها تحت تأثیر درب پشتی XZ قرار می گیرند؟
به لطف کشف فروند، حمله قبل از اینکه در مقیاس وسیع تری گسترش یابد متوقف شد. شرکت امنیت سایبری Tenable سیستمعاملهای زیر را که تحت تأثیر درب پشتی XZ شناخته شدهاند، افشا کرده است:
- فدورا راوید.
- فدورا 40 بتا.
- فدورا 41.
- تست دبیان، توزیع های ناپایدار و آزمایشی، نسخه های 5.5.1alpha-01 تا 5.6.1-1.
- openSUSE Tumbleweed.
- OpenSUSE MicroOS.
- کالی لینوکس.
- آرچ لینوکس.
در یک پست وبلاگ، Red Hat گزارش داد که هیچ نسخه ای از Red Hat Enterprise Linux تحت تأثیر CVE-2024-3094 قرار نگرفته است.
دبیان نشان داد که هیچ نسخه پایداری از توزیع تحت تأثیر قرار نگرفته است، و اوبونتو ارسال کرد که هیچ نسخه منتشر شده از اوبونتو تحت تأثیر قرار نگرفته است.
مدیر بسته homebrew MacOS XZ را از 5.6.x به 5.4.6 برگرداند، نسخه ای قدیمی اما ایمن. بو اندرسون، نگهدارنده و عضو کمیته راهبری فنی Homebrew، اظهار داشت که Homebrew «… معتقد نیست که ساختهای Homebrew به خطر افتاده است (درپشتی فقط برای ساختهای deb و rpm اعمال میشود)، اما 5.6.x از قبل غیرقابل اعتماد تلقی میشود و به عنوان یک اقدام احتیاطی، ما در حال کاهش به 5.4.6 هستیم.”
نحوه کاهش و محافظت در برابر این تهدید درب پشتی XZ
سیستمهای بیشتری ممکن است تحت تأثیر قرار گیرند، بهویژه سیستمهایی که توسعهدهندگان نسخههای آسیبپذیر XZ را روی آنها کامپایل کردهاند. شرکت امنیتی Binarly یک ابزار تشخیص آنلاین ارائه می دهد که می تواند برای آزمایش سیستم ها استفاده شود تا ببیند آیا تحت تأثیر درب پشتی XZ قرار می گیرند یا خیر.
نسخه XZ باید به دقت بررسی شود، زیرا نسخه های 5.6.0 و 5.6.1 حاوی درب پشتی هستند. توصیه می شود به نسخه ایمن شناخته شده قبلی XZ Utils مانند 5.4 برگردید.
حملات به زنجیره تامین نرم افزار در حال افزایش است
همانطور که قبلا در TechRepublic گزارش شده بود، حملات به زنجیره تامین نرم افزار به طور فزاینده ای توسط تهدیدات مورد استفاده قرار می گیرند.
با این حال، حملات متداول در زنجیره تامین نرمافزار عمدتاً شامل مدیریت به خطر انداختن یک حساب کلیدی در فرآیند توسعه نرمافزار و استفاده از حساب برای انتقال محتوای مخرب به نرمافزار قانونی است که اغلب به سرعت شناسایی میشود. در مورد XZ Utils، بسیار متفاوت است، زیرا تهدید با دقت موفق شد اعتماد توسعه دهندگان قانونی را به دست آورد و به یکی از نگهبانان ابزار تبدیل شود، که به آن اجازه می دهد تا به آرامی قطعات آسیب پذیر مختلف را بدون توجه به نرم افزار وارد کند.
حملات زنجیره تامین نرم افزار تنها تهدیدهای رو به رشد نیستند. سایر حملات زنجیره تامین مبتنی بر محصولات فناوری اطلاعات نیز در حال افزایش است.
بنابراین، شرکت ها باید اطمینان حاصل کنند که اشخاص ثالث در نظارت بر سطح حمله خود در نظر گرفته می شوند.
افشاگری: من برای Trend Micro کار می کنم، اما نظرات بیان شده در این مقاله نظر من است.