Reklama

Cyberbezpieczeństwo

Backdoor w Linuksach. Krytyczna podatność

Backdoor w xz - co to oznacza?
Backdoor w xz - co to oznacza?
Autor. Pete Linforth, https://pixabay.com/pl/illustrations/haker-cyberbezpiecze%C5%84stwa-6512174/

Dystrybucje Linuksa wyróżniają się bardzo ważną cechą – są otwartoźródłowe, dzięki czemu każdy może przeanalizować kod danej biblioteki lub samego kernela. Daje to również możliwość wprowadzania zmian do systemów przez pasjonatów wolnego oprogramowania. Ten fakt został wykorzystany przez JiaT75, który dodał tylną furtkę (tzw. backdoor) do największych dystrybucji Linuksa, dzięki czemu mógł przejmować kontrolę nad urządzeniami. Podatność jest krytyczna (10/10 punktów w skali CVSS) i wymaga natychmiastowego działania administratorów. Jej CVE ID to CVE-2024-3094.

W ostatni piątek ukazała się informacja, która zmroziła krew w żyłach każdemu administratorowi Linuksa. Tego dnia opublikowano post o złośliwym kodzie w narzędziu xz, które jest powszechnie wykorzystywane do bezstratnej kompresji. Atakujący mógł uzyskać dostęp do każdego urządzenia, które wykorzystywało xz w wersji 5.6.0 lub 5.6.1. Jest to zagrożenie na masową skalę.

Czytaj też

Reklama

Znalezienie podatności

Podatność została znaleziona przez Andresa Freunda z Microsoftu. Zauważył, że procesy sshd używają ogromnej ilości mocy obliczeniowej procesora. Po analizie nieudanych prób logowania i kodu xz odkrył, że ten pakiet pozwala atakującemu przejąć kontrolę nad dowolnym urządzeniem, wykorzystującym tę wersję xz.

Wpis Andresa na Mastodonie

Czytaj też

Reklama

Łatanie podatności

Najlepszy schemat działania opisuje jeden z postów na GitHubie:

Wpis na GitHub informujący o konieczności aktualizacji
Fragment wpisu na GitHubie
Autor. Źródło: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Oficjalny profil Kali Linux na X skomentował:

Jedynym sposobem na załatanie podatności jest aktualizacja pakietu.

Czytaj też

Reklama

Paradoks Open Source

Sytuacja xz pokazuje, że otwartoźródłowe aplikacje mogą również być narażone na ataki. Warto jednak wspomnieć, że dzięki analizie kodu możliwe było znalezienie backdoora. Podobne działanie byłoby niemożliwe, gdyby taka sama podatność wystąpiła w aplikacji o zamkniętym kodzie źródłowym.

Mimo tego, że podatność była poważna i nieoczywista, została dość szybko znaleziona przez Andreasa. Historia pokazuje, że niektóre podatności były trzymane latami w tajemnicy, np. windowsowe EternalBlue. NSA ukrywało go przez pięć lat - do momentu podejrzenia wycieku, który później spowodował jeden z największych ataków hakerskich – WannaCry.

Czytaj też

Tożsamość sprawcy

Obecnie nie zostało ustalone kim tak naprawdę jest osoba, która wprowadziła zmiany w bibliotece. Wiadomo jednak, że:

  • Posługiwała się pseudonimami JiaT75/Jia Tan/Jia Cheong Tan, co jest zbitką kantońskich i mandaryńskich słów;
  • Pracowała podczas Chińskiego Nowego Roku;
  • Nie pracowała podczas Bożego Narodzenia i Nowego Roku (1 stycznia);
  • Prawdopodobnie znajduje się w strefie czasowej UTC+2 lub UTC+3.
UTC+0200
UTC+0200
Autor. Licencja CC0
UTC+0300
UTC+0300
Autor. Licencja CC0

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama

Komentarze

    Reklama