Súlyos károkat okozhatott volna a Linuxokat érintő hátsó ajtó
Komoly következményeket vont volna maga után, ha nem sikerül viszonylag korán felfedni a Fedora és a Debian disztribúciók kiadás előtt álló változataiban megbújó hátsó kaput, amit social engineering módszerrel sikerült beleépíteni a népszerű XZ tömörítőeszközbe, és akár kémkedésre is lehetőséget adott volna a linuxos gépeken.
A Microsoft egyik fejlesztője pénteken fedett fel hátsó kaput (CVE-2024-3094) a Linux rendszerekre elérhető XZ Utils veszteségmentes adattömörítő segédprogram libIzma csomagjában, amivel kapcsolatban aznap a Red Hat is riasztást adott ki. Mint kiderült: a projekten több fejlesztő is évekig dolgozhatott, és közel került ahhoz, hogy beolvadjon a két legnagyobb Linux-disztribúcióba, a Debianba és a Red Hatbe is. Felfedéséig azonban csak néhány verziót érintett az SSH-kiszolgáló működésének kompromittálását lehetővé tevő backdoor. Az ellátási láncot érintő támadás célja egy hátsó kapu beépítése volt az XZ csomagba, ezen keresztül pedig szinte minden népszerű Linux disztribúcióba.
Andres Freund, a Microsoftál dolgozó mérnök akkor figyelt fel a backdoorra, amikor a közelmúltban Debian rendszer alatt az SSH hálózati protokollhoz kapcsolódó teljesítményproblémák elhárításán dolgozott. Gyanússá vált számára ugyanis, hogy az SSH- bejelentkezések felépítése hosszabb ideig tartott, emellett gyanúsan sok számítási erőforrást fogyasztottak, és a vizsgálatok során hibákat jelzett a valgrind memória debugger is. A mérnök ezután jött rá, hogy a probléma az XZ Utils frissítéseihez vezet, ezután észrevételét az Openwall biztonsági levelezőlistán osztotta meg.
Mivel egy open source csomagról van szó, a backdoornak sok szem elől kellett rejtve maradnia, amit készítője úgy oldott meg, hogy az egyébként komplex backdoor egy részét titkosítottan a test folder binary fájljaiban rejtette el, és nem voltak nyomai az xz GitHub repository-jában sem. Az XZ Utils 5.6.0-s és 5.6.1-es verzióiban megtalálható backdoor csak az archivált letöltőcsomagokban, a "tarballokban" volt megtalálható.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Filippo Valsorda kriptográfiai mérnök szerint a hátsó ajtó lehetővé tette volna a full remote kódfuttatást bizonyos feltételek közt az OpenSSH-n és a systemd-en keresztül. A kód az SSH hitelesítési folyamatába avatkozott bele, így a céleszközhöz azok is hozzáférhettek volna, akik nem ismerték a rendszer valamelyik belépésre jogosult felhasználójának nevét és azonosítóit. Hozzáférés birtokában az elkövetők jogosultságot kaptak volna tetszőleges fájlok letöltésére, programok futtatására, vagy akár adatok módosítására.
Mivel a problémát az új változatok szélesebb körben elterjedt kiadása előtt észlelték, ezért az érintett disztribúciók listája rövid: érintett a Fedora 40 és a Fedora Rawhide fejlesztői disztribúciók, emellett a Debian Unstable és a Kali Linux verzió, de nem érintik a Red Hat Enterprise Linuxot (RHEL), a Debian Stable-t, az Amazon Linuxot és a SUSE Linux Enterprise and Leap-et. A sebezhető disztribúciók kihasználásához továbbá a backdoort tartalmazó xz-5.6.0 vagy xz-5.6.1 frissítés lett volna szükséges, amelyek február végén-március elején jöttek ki, de még nem települtek sok eszközre.
A Red Hat szerint a Fedora Linux 40 felhasználói a rendszerfrissítések időzítésétől függően már megkaphatták az 5.6.0-t, a Fedora Rawhide, a Fedora Linux 41 jelenlegi fejlesztési verziójának felhasználói pedig valószínűleg megkapták az 5.6.1-et. A Fedora 40 és 41 hivatalosan még nem jelent meg, a 40-es verzió jövő hónapban várható. A Kali Linux bejelentése alapján a backdoor március 26. és március 29. között érintette a rendszert, így aki március 26-án vagy azt követően frissítette a Kalit, annak javasolt telepítenie a március 29-én kiadott javítást.
Óvatosan építkezett
A történet másik érdekes pontja, hogy Fruend vizsgálata szerint a hátsó ajtót a nyílt forráskódú projekthez köthető, "JiaT75" (Jia Tan) néven aktív karbantartó vezette be a csomagba, aki előtte évekig dolgozott azon, hogy bizalmat építsen ki az open source közösségben. Miután hozzáférést kapott az XZ Utils projekt karbantartásához, több óvatos lépésben vezette be a rosszindulatú kódot.
Az incidens így igazolja az évek óta fennálló aggodalmat, hogy a kis támogatással karbantartott projektekhez kártékony szereplők is közel kerülhetnek, és social engineering módszerekkel akár évekig építkezve elképzelhető egy ilyen támadás kivitelezése. Jia Tan aktivitását Evan Boehs követte vissza alaposabban.
Filippo Valsorda szoftver- és kriptográfiai mérnök az esetet az egyik legkifinomultabb, a nyílt forrású ellátási láncot érintő beavatkozásként írja le, ami különösen azért veszélyes, mert egy széles körben használt könyvtárban található. Omkhar Arasaratnam, az Open Source Software Foundation vezérigazgatója szombati blogbejegyzésében úgy fogalmaz, hogy a nyílt forráskódú szoftverek természete is volt egyben az, ami lehetővé tette a hátsó ajtó gyors felfedezését, bejelentését és kezelését, és hogy az érintett rendszerek száma "viszonylag alacsony". Arasaratnam hozzátette, hogy az open source esetében nincs tökéletes eszközkészlet vagy gyakorlat, amellyel megakadályozható lett volna egy ilyen típusú, szoftveres ellátási láncot célzó támadás.