Hoe een vrijwilliger een achterdeur verhinderde om Linux-systemen over de hele wereld bloot te leggen

Linux, 's werelds meest gebruikte open source besturingssysteem, ontsnapte tijdens het paasweekend ternauwernood aan een enorme cyberaanval, allemaal dankzij één vrijwilliger.

De achterdeur is opgenomen in een recente versie van het Linux-compressieformaat genaamd XZ Utils, een tool die weinig bekend is buiten de Linux-wereld, maar die in bijna elke Linux-distributie wordt gebruikt om grote bestanden te comprimeren, waardoor ze gemakkelijker kunnen worden overgedragen. Als het virus zich breder had verspreid, hadden talloze systemen jarenlang kwetsbaar kunnen blijven.

En als Ars Technica opgemerkt in Uitgebreide samenvattingDe dader werkte in het openbaar aan het project.

De kwetsbaarheid, die werd geïntroduceerd in het extern inloggen op Linux, stelde zichzelf slechts bloot aan één enkele sleutel, zodat deze zich kon verbergen voor openbare computerscans. leuk vinden Ben Thompson schrijft op Strachry. “Het merendeel van de computers in de wereld zal kwetsbaar zijn en niemand zal het weten.”

Het verhaal van de ontdekking van de XZ-achterdeur begint in de vroege ochtend van 29 maart, zoals de in San Francisco gevestigde Microsoft-ontwikkelaar Anders Freund op Mastodon plaatste en Ik heb een e-mail gestuurd Naar de OpenWall-beveiligingsmailinglijst met de titel: “xz/liblzma upstream backdoor leidt tot ssh-servercompromis.”

Freund, die vrijwilligerswerk doet als 'supervisor' bij PostgreSQL, een op Linux gebaseerde database, merkte de afgelopen weken een aantal vreemde dingen op tijdens het uitvoeren van tests. Gecodeerde aanmeldingen bij liblzma, onderdeel van de XZ-compressiebibliotheek, verbruikten een aanzienlijke hoeveelheid CPU. Geen van de prestatietools die hij gebruikte onthulde iets”, schreef Freund in Mastodon. Dit wekte onmiddellijk zijn argwaan, en hij herinnerde zich een “vreemde klacht” van een Postgres-gebruiker een paar weken eerder over Valgrind, een Linux-programma dat controleert op geheugenfouten.

Na enig onderzoek ontdekte Freund uiteindelijk wat er mis was. “XZ Warehouse en XZ Tar Balls zijn terug gesloten”, merkte Freund op in zijn e-mail. De kwaadaardige code was aanwezig in versies 5.6.0 en 5.6.1 van xz-tools en -bibliotheken.

Kort daarna stuurde open source softwarebedrijf Red Hat een bericht Noodbeveiligingswaarschuwing Voor gebruikers van Fedora Rawhide en Fedora Linux 40. Uiteindelijk concludeerde het bedrijf dat de Fedora Linux 40 bèta twee getroffen versies van de xz-bibliotheken bevat. Het is mogelijk dat Fedora Rawhide versies ook versie 5.6.0 of 5.6.1 hebben ontvangen.

Stop onmiddellijk met het gebruik van FEDORA RAWHIDE producten voor zakelijke of persoonlijke activiteiten. Fedora Rawhide zal binnenkort teruggezet worden naar xz-5.4.x, en zodra dit gedaan is, kunnen Fedora Rawhide instanties veilig opnieuw ingezet worden.

Hoewel de bètaversie van Debian, een gratis Linux-distributie, pakketten bevat die zijn gecompromitteerd door het beveiligingsteam Ik handelde snel Om naar hen terug te keren. “Op dit moment zijn er geen stabiele versies van Debian getroffen”, schreef Salvatore Bonaccorso van Debian vrijdagavond in een beveiligingswaarschuwing aan gebruikers.

Freund identificeerde de persoon die de kwaadaardige code stuurde later als een van de twee hoofdontwikkelaars van xz Utils, bekend als JiaT75 of Jia Tan. “Aangezien de activiteit al enkele weken aan de gang was, was de dader er direct bij betrokken of was er sprake van een ernstige inbreuk op hun systeem. Helaas lijkt dit laatste de minst waarschijnlijke verklaring, aangezien ze in verschillende lijsten spraken van de 'fixes' ' hierboven genoemd', schreef Freund in zijn boek. analysena het koppelen van verschillende oplossingen van JiaT75.

JiaT75 was een bekende naam: ze werkten al een tijdje samen met de oorspronkelijke ontwikkelaar van het .xz-bestandsformaat, Lasse Collin. Zoals programmeur Ross Cox in zijn boek opmerkte roosterbegon JiaT75 in oktober 2021 schijnbaar legitieme patches naar de XZ-mailinglijst te sturen.

Andere onderdelen van het plan werden een paar maanden later onthuld, toen twee andere identiteiten, Jigar Kumar en Dennis Ince, Er beginnen klachten via e-mail te worden verzonden Aan Colin over de fouten en de trage ontwikkeling van het project. Echter, zoals opgemerkt in rapporten Evan Buhs Anderen, “Kumar” en “Ins”, zijn nog nooit buiten de XZ-gemeenschap gezien, waardoor onderzoekers geloven dat ze allebei nep zijn en alleen bestaan ​​om Jia Tan toegang te geven tot zijn locatie om de achterdeurcode af te leveren.

“Het spijt me van je geestelijke gezondheidsproblemen, maar het is belangrijk om je bewust te zijn van je grenzen. “Ik besef dat dit een hobbyproject is voor alle bijdragers, maar de gemeenschap wil meer”, schreef Ince in één bericht, terwijl Kumar zei in een ander: ‘Er komt geen vooruitgang.’ Totdat er een nieuwe toezichthouder is.’

Te midden van het heen en weer schreef Collins: “Ik ben mijn interesse niet kwijtgeraakt, maar mijn vermogen om te zorgen is enigszins beperkt vanwege langdurige geestelijke gezondheidsproblemen, maar ook door een aantal andere dingen”, en stelde voor dat Jia Tan een grotere rol op zich zou nemen. “Het is ook goed om in gedachten te houden dat dit een onbetaald hobbyproject is”, besluit hij. E-mails van Kumar en Ens gingen door totdat Tan later dat jaar als moderator werd toegevoegd, om wijzigingen te kunnen aanbrengen en te proberen het achterdeurpakket met meer autoriteit in Linux-distributies te introduceren.

Het xz-achterdeurincident en de nasleep ervan zijn een voorbeeld van de schoonheid van open source en de ongelooflijke kwetsbaarheid van de internetinfrastructuur.

Een ontwikkelaar van FFmpeg, een populair open source mediapakket, heeft het probleem benadrukt In een tweet“Het xz-fiasco liet zien hoe het vertrouwen op onbetaalde vrijwilligers grote problemen kan veroorzaken. Biljoenenbedrijven verwachten gratis, dringende ondersteuning van vrijwilligers. Ze brachten bonnen mee waaruit bleek hoe ze een ‘hoge prioriteit’ bug hadden aangepakt die Microsoft Teams trof.

Ondanks de afhankelijkheid van Microsoft van zijn software, schreef de ontwikkelaar: “Nadat ze beleefd om een ​​ondersteuningscontract bij Microsoft hadden gevraagd voor langdurig onderhoud, boden ze in plaats daarvan een eenmalige betaling van een paar duizend dollar aan… Investeringen in onderhoud en duurzaamheid zijn onaantrekkelijk en een middenmanager zal het waarschijnlijk niet snappen.” Voor zijn promotie zal hij hem in de loop van vele jaren zelfs duizend keer betalen.

Details over wie er achter JiaT75 zit, hoe hun plan zal worden uitgevoerd en de omvang van de schade zijn onthuld door een leger van ontwikkelaars en cybersecurityprofessionals, zowel op sociale media als online forums. Maar dit gebeurt zonder directe financiële steun van de vele bedrijven en organisaties die profiteren van de mogelijkheid om veilige software te gebruiken.