XZ Utils : چگونه از یک فاجعه بزرگ امنیت سایبری به سختی جلوگیری شد

چگونه از یک فاجعه بزرگ امنیت سایبری به سختی جلوگیری شد
یک بازیگر مخرب یک backdoor لینوکس ایجاد کرد که می توانست صدمات بیشماری به بار آورد. نقشه آنها در آخرین لحظه نقش بر آب شد.

یک حمله سایبری عظیم که می‌توانست تأثیر فاجعه‌باری بر میلیون‌ها سیستم رایانه‌ای در سرتاسر دنیا داشته باشد، در آخر هفته توسط یک محقق تنها، که یک backdoor را در کد ابزار فشرده‌سازی داده‌های پرکاربرد مشاهده کرد، خنثی شد.

نگران‌کننده است که عملیاتی که backdoor را تسهیل می‌کرد، مداوم، بسیار پیچیده بود و شامل تکنیک‌های مهندسی اجتماعی منحصربه‌فرد بود – با مجرمی که برای سال‌ها خود را به عنوان یک توسعه‌دهنده قانونی در خود نشان می‌داد.

اگر محقق به این موضوع پی نبرده بود و یکی از دو نسخه در معرض خطر XZ Utils برای هر توزیع بزرگ لینوکس عرضه می شد، آنگاه تعداد دستگاه هایی که می توانست بر آن تأثیر بگذارد به یک فاجعه امنیتی جدی تبدیل می شد.

این backdoor (روشی مخفی برای دور زدن اقدامات احراز هویت و رمزگذاری) که اکنون توسط محققان امنیتی به‌عنوان CVE-2024-3094 ردیابی می‌شود، توسط مهندس مایکروسافت آندرس فروند کشف شد که در حین کار بر روی سیستمی که دبیان را اجرا می‌کرد متوجه خطاهای غیرعادی و مشکلات عملکردی شد.

این توسط یک عامل تهدید با قرار دادن کدهای مخرب در کتابخانه منبع باز برای XZ Utils، یک ابزار فشرده سازی داده که در طیف وسیعی از توزیع های لینوکس ساخته شده و به طور گسترده ای در بین توسعه دهندگان محبوب است، ایجاد شد.
درب پشتی SSH – پروتکل Secure Shell – یکی از رایج‌ترین ابزارهای مورد استفاده در جهان برای احراز هویت و رمزگذاری اتصالات بین دستگاه‌ها را هدف قرار می‌دهد. درپشتی به مهاجمان اجازه می‌داد کنترل دستگاه‌های هدف را در دست بگیرند و مانند یک مدیر از آنها استفاده کنند.

خوشبختانه، این مشکل قبل از اینکه در هر نسخه تولیدی پایدار لینوکس قرار داده شود، کشف شد که فاجعه بار بود. دور از دسترس هم نبود، به نصب در Debian و Red Hat، دو توزیع بسیار محبوب، نزدیک بود.

به گفته شرکت امنیت ابری Akamai، بازیگر تهدید تقریباً دو سال پیش شروع به اضافه کردن به پروژه کرد و “به آرامی اعتبار ایجاد کرد تا زمانی که مسئولیت های نگهدارنده به آنها واگذار شد” که امکان کدگذاری backdoor را فراهم کرد. Wired تأثیر خود را بر GitHub به سال 2021 بازمی‌گرداند، زمانی که آنها اولین commit شناخته شده خود را در این پلتفرم انجام دادند.
برای به دست آوردن سریع این امتیازات، عامل تهدید، نگهبانان خوش‌نیت را با درخواست‌های ویژگی و اشکالات بمباران کرد و تقاضای جعلی برای نقش نگهدارنده اضافی ایجاد کرد.
مخزن Github که کد در آن ذخیره می شد از آن زمان غیرفعال شده است. Akamai می‌گوید این کد تنها با گنجاندن کد منبع tarball به جای مخزن عمومی git، «نسبتاً پنهان» بود.
خوشبختانه، این آسیب‌پذیری فقط در آخرین نسخه‌های XZ Utils وجود دارد: 5.6.0 و 5.6.1. نسخه اخیر در واقع شامل نسخه اصلاح شده تری از backdoor است. اقدام توصیه شده برای افرادی که از توزیع‌های لینوکس تحت تأثیر استفاده می‌کنند، تنزل دادن به جدیدترین نسخه‌های بدون تأثیر ابزار است.

:references

https://tech.co/news/xz-utils-disaster-avoided