В популярном пакете xz Utils для сжатия данных без потерь и работы с форматом .xz обнаружили бэкдор Бекдор — это метод обхода стандартных процедур аутентификации, несанкционированный удаленный доступ к компьютеру.
В пятницу пользователи призвали немедленно прекратить пользоваться дистрибутивами Fedora 41 версии 5.6.0 и Fedora Rawhide версии 5.6.0 или 5.6.1.
Есть подозрения относительно других дистрибутивов. Однако на данный момент подтверждения отсутствуют.
ArsTechnica рассказала детали инцидента.
xz Utils
XZ Utils — это набор бесплатных программ для сжатия данных. Есть в каждом дистрибутиве Linux и в других Unix-подобных операционных системах.
xz Utils предоставляет критически важные функции для сжатия и распаковки данных во время всех видов операций.
Что случилось?
Первым проблему заметил разработчик Андрес Фройнд, который работает над предложениями Microsoft PostgreSQL. Недавно он решал проблемы производительности системы Debian с SSH, наиболее распространенным протоколом для удаленного входа в устройства через Интернет.
В частности, вход через SSH сильно загружал процессор и генерировал ошибки с valgrind, утилитой для мониторинга памяти.
В конце концов он обнаружил, что проблемы являются результатом обновлений xz Utils. Разработчик официально обратился в Open Source Security List и заявил, что обновления являются результатом того, что кто-то намеренно установил бэкдор в XZ Utils.
Что делает бэкдор?
Вредоносный код, добавленный в xz Utils версии 5.6.0 и 5.6.1, изменил способ работы программного обеспечения во время выполнения операций.
Когда эти функции включали SSH, они позволяли выполнять вредоносный код с root-правами. Он позволяет кому-то, кто владеет заранее определенным ключом шифрования, войти в бэкдорную систему через SSH.
Таким образом лицо имело бы тот же уровень контроля, что и любой авторизованный администратор.
Бекдор создавался годами
Эксперты отметили, что создание бэкдора заняло не один год.
В 2021 году пользователь JiaT575 впервые принял участие в опенсорс-проекте.
Оглядываясь назад, изменения в проекте libarchive вызывают подозрение, поскольку они заменили функцию safe_fprint на вариант, который давно считался менее безопасным. Тогда этого никто не заметил.
В следующем году JiaT575 представил исправление для списка рассылки xz Utils, и почти сразу к обсуждению присоединился никому ранее не замеченный участник, который утверждал, что разработчик xz Utils Лассе Коллин давно не обновлял программное обеспечение.
Такое давление привело к тому, что к проекту присоединили JiaT575.
В январе 2023 года он впервые принял участие в разработке. И в последующие месяцы, как утверждается, он все больше и больше вовлекался в процесс.
- JiaT575 заменил контактную информацию Коллинза своей собственной в oss-fuzz от Microsoft, проекте, который сканирует программное обеспечение с открытым кодом на признаки злонамеренности.
- Также он сделал, чтобы отключили функцию ifunc во время тестирования. Это позволило системе безопасности проигнорировать внесенные изменения.
- В феврале 2024 года JiaT575 выдал комиты для версий 5.6.0 и 5.6.1 xz Utils. Обновления реализовали бэкдор.
В последующие недели Тан и другие призывали разработчиков Ubuntu, Red Hat и Debian добавить апдейты в обновления системы. И даже некоторые должны были выйти в ближайшее время.
Бекдор реализован с помощью пятиступенчатого загрузчика, который использует ряд простых, но умных методов, чтобы скрыть себя. Он также обеспечивает средства для доставки новых полезных нагрузок без необходимости серьезных изменений.
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков. IT-компания входит в группу компаний FAVBET.