یک بک دور در XZ Utils راه خود را به توزیع های محبوب لینوکس پیدا کرده است.
بازیگران ناشناس کدهای مخرب را در نسخه های 5.6.0 و 5.6.1 مجموعه ابزار فشرده سازی متن باز XZ Utils قرار داده اند. بدتر از آن، ابزارهای تروجانی شده توانسته اند راه خود را به چندین بیلد محبوب لینوکس که در ماه مارس منتشر شده اند پیدا کنند، بنابراین این حادثه می تواند به عنوان یک حمله زنجیره تامین در نظر گرفته شود. این آسیب پذیری به CVE-2024-3094 اختصاص داده شده است.
چه چیزی این ایمپلنت مخرب را تا این حد خطرناک می کند؟
در ابتدا، محققان مختلف ادعا کردند که این بک دور به مهاجمان اجازه میدهد تا احراز هویت sshd (فرایند سرور OpenSSH) را دور بزنند و از راه دور به سیستم عامل دسترسی غیرمجاز پیدا کنند. با این حال، با قضاوت بر اساس آخرین اطلاعات، این آسیبپذیری نباید به عنوان یک «دور زدن احراز هویت»، بلکه به عنوان «اجرای کد از راه دور» (RCE) طبقهبندی شود. درپشتی تابع RSA_public_decrypt را رهگیری میکند، امضای میزبان را با استفاده از کلید ثابت Ed448 تأیید میکند و در صورت تأیید موفقیتآمیز، کد مخرب ارسال شده توسط میزبان از طریق تابع system() را اجرا میکند و هیچ اثری در گزارشهای sshd باقی نمیگذارد.
کدام توزیع های لینوکس حاوی ابزارهای مخرب هستند و کدام یک ایمن هستند؟
مشخص است که XZ Utils نسخههای 5.6.0 و 5.6.1 در بیلدهای مارس توزیعهای لینوکس زیر گنجانده شدهاند:
کالی لینوکس، اما، طبق وبلاگ رسمی، فقط آنهایی که بین 26 مارس و 29 مارس در دسترس بودند (وبلاگ همچنین حاوی دستورالعمل هایی برای بررسی نسخه های آسیب پذیر برنامه های کاربردی است).
openSUSE Tumbleweed و openSUSE MicroOS، در دسترس از 7 مارس تا 28 مارس.
فدورا 41، فدورا راوید و فدورا لینوکس 40 بتا؛
دبیان (فقط توزیع های آزمایشی، ناپایدار و آزمایشی)؛
Arch Linux – تصاویر کانتینر از 29 فوریه تا 29 مارس در دسترس است. با این حال، وب سایت archlinux.org بیان می کند که به دلیل ویژگی های پیاده سازی آن، این بردار حمله در Arch Linux کار نمی کند، اما آنها همچنان قویاً به روز رسانی سیستم را توصیه می کنند.
طبق اطلاعات رسمی، Red Hat Enterprise Linux (RHEL)، SUSE Linux Enterprise، openSUSE Leap و Debian Stable آسیب پذیر نیستند. در مورد سایر توزیعها، توصیه میشود که آنها را از نظر وجود نسخههای تروجانیزهشده XZ Utils به صورت دستی بررسی کنید.
چگونه کد مخرب در XZ Utils قرار گرفت؟
ظاهراً این یک مورد معمولی از انتقال کنترل بود. شخصی که در ابتدا پروژه XZ Libs را در GitHub نگهداری می کرد، کنترل مخزن را به حسابی منتقل کرد که چندین سال است در تعدادی از مخازن مرتبط با فشرده سازی داده ها مشارکت داشته است. و در نقطه ای، شخصی پشت آن حساب دیگر یک بک دور را در کد پروژه کاشت.
اپیدمی تقریباً از دست رفته ای که هرگز اتفاق نیفتاد
به گفته ایگور کوزنتسوف، رئیس تیم تحقیقات و تحلیل جهانی ما (GReAT)، بهره برداری از CVE-2024-3094 به طور بالقوه می تواند به بزرگترین حمله در مقیاس به اکوسیستم لینوکس در کل تاریخ آن تبدیل شود. این به این دلیل است که هدف اصلی آن سرورهای SSH – ابزار اصلی مدیریت از راه دور تمام سرورهای لینوکس در اینترنت است. اگر به توزیع های پایدار ختم می شد، احتمالاً شاهد تعداد زیادی هک سرور بودیم. با این حال، خوشبختانه، CVE-2024-3094 در توزیع های آزمایشی و رول – جایی که از آخرین بسته های نرم افزاری استفاده می شود، مورد توجه قرار گرفت. یعنی اکثر کاربران لینوکس در امان ماندند. تاکنون هیچ موردی از CVE-2024-3094 که واقعاً مورد سوء استفاده قرار گرفته باشد را شناسایی نکرده ایم.
چگونه ایمن بمانیم؟
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به هر کسی که سیستم عامل های آسیب دیده را در ماه مارس نصب یا به روز کرده است توصیه می کند که فوراً XZ Utils را به نسخه قبلی (مثلاً نسخه 5.4.6) تنزل دهند. و همچنین شروع به جستجو برای فعالیت های مخرب.
اگر توزیعی را با نسخه آسیبپذیر XZ Utils نصب کردهاید، تغییر تمام اعتبارنامههایی که ممکن است توسط عوامل تهدید از سیستم به سرقت بروند، منطقی است.
با استفاده از قانون Yara برای CVE-2024-3094 می توانید وجود یک آسیب پذیری را تشخیص دهید.
ترجمه:
پیشگامان تجارت امن ایرانیان