Atak na łańcuch dostaw wyższego szczebla XZ Utils

29 marca 2024 r. w popularnej bibliotece kompresji danych XZ Utils (znanej również jako LZMA Utils) wykryto backdoora, który umożliwia nieautoryzowany użytkownikom dostęp zdalny do danych. Luce tej przypisano nazwę CVE-2024-3094 z najwyższym możliwym wynikiem CVSS 10,0. XZ Utils to bezpłatny pakiet oprogramowania typu open source powszechnie używany w systemach Linux do kompresji danych, podobnie jak program zip w systemie Windows. Jest to szeroko stosowane narzędzie, często integrowane z systemami tworzenia oprogramowania w celu wydajnej kompresji plików programów podczas procesu kompilacji. Rozwiązanie to nie tylko oszczędza miejsce w magazynie, ale może również poprawić efektywność dystrybucji.

Programista w firmie Microsoft, Andres Freund, natknął się na backdoora podczas przeprowadzania testów mikrowydajności. Zauważył, że procesy SSH trwały około pół sekundy dłużej niż zwykle. Zaciekawiony, zbadał tę anomalię, aby określić jej przyczynę. To szczęśliwe odkrycie miało miejsce na tyle wcześnie, że główne dystrybucje Linuksa były bezpieczne. Potencjalnie dotyczy to tylko wczesnych wersji testowych i deweloperskich. Chociaż osoba atakująca prawdopodobnie planowała wykorzystanie tej luki od lat, szczęśliwy splot okoliczności doprowadził do wczesnego wykrycia problemu, co zapobiegło znacznie poważniejszemu problemowi.

Publiczne repozytorium XZ jest obecnie wyłączone w GitHub

Zespół w Bitdefender Labs uważnie śledzi tę sytuację. Aktywnie poszukuje wszelkich oznak złośliwej aktywności i będzie Cię informować o aktualizacjach związanych z tym tematem. Jeśli nie interesują Cię szczegóły techniczne luki, możesz przejść do sekcji z zaleceniami na końcu tego poradnika.

Szczegóły luki XZ Utils

W oparciu o wszystkie dostępne dowody wydaje się, że wykorzystanie luki XZ Utils jest operacją wieloletnia, prawdopodobnie wspieraną przez nieznany podmiot państwowy. Oto rozkład osi czasu:

• 2021: Utworzono konto atakującego o nazwie JiaT75.
• 2022: JiaT75 zaczyna brać udział w projekcie XZ na Git, budując zaufanie społeczności programistów.
• 2023: Pierwszy ruch atakującego polegał na modyfikacji logiki fuzzingu. Prawdopodobnie miało to na celu ukrycie (lub zamaskowanie) bardziej złośliwych zmian, które planowano wprowadzić później.
• 16 lutego 2024 r.: W pliku .gitignore wprowadzono pozornie nieistotną zmianę, wyłączając określone makro (build-to-Host.m4) z kontroli wersji. Jest to pierwszy konkretny dowód szkodliwej aktywności.
• 9 marca 2024 r.: Dodano ostatni element: zaciemnione binarne pliki backdoora (tests/files/bad-3-corrupt_lzma2.xz i testy/files/good-large_compressed.lzma).

Istnieje wiele nieporozumień na temat tego, gdzie znajdował się złośliwy kod. Chociaż osoba atakująca przesłała zaciemniony złośliwy kod do repozytorium Git, to jednak nie działał on samoistnie. W repozytorium znajdował się pozornie nieszkodliwy kod źródłowy, który każdy mógł przeglądać i współtworzyć.

Do działania potrzebny był inny komponent, makro M4. To kluczowe makro zostało celowo wykluczone z repozytorium Git. Nie było to widoczne dla programistów, ale podczas pakowania to makro zostało uruchomione, wstrzykując kolejny zaciemniony skrypt do procesu konfiguracji.

Kod wtrysku w makrze build-to-host.m4

Ten wstrzyknięty skrypt sprawdzał następnie konkretny typ systemu Linux (x86-64) i konkretny format pakietu (Debian lub RPM). Jeśli warunki były spełnione, modyfikował plik MakeFile biblioteki liblzma, aby sabotować sposób wyszukiwania funkcji (symboli) w czasie wykonywania. Ponadto zmuszał funkcję RSA_Public_Decrypt() do wskazania kodu backdoora atakującego zamiast na prawidłową funkcję, co umożliwiało atakującemu zdalne wykonanie kodu bez uwierzytelnienia.

Luka XZ Utils – kluczowe wnioski

Luka XZ Utils przyciąga wiele uwagi i wzbudza niepokój w wielu internautów, ale jest dobra wiadomość: obecnie problem ten nie dotyczy stabilnych wersji głównych dystrybucji Linuksa (RHEL, SUSE Linux Enterprise, Debian). Zespoły w Bitdefender Labs i Bitdefender MDR uważnie obserwują sytuację i zaktualizują raport dotyczący luki XZ Utils, gdy tylko pojawi się więcej informacji na ten temat. Poniżej przedstawiamy poradnik Bitdefender dotyczący ochrony przed luką XZ Utils.

Pierwszym krokiem jest identyfikacja potencjalnie podatnych na ataki systemów w sieci. Zespół Bitdefender zaleca użycie narzędzia zwanego osquery (obsługiwanego przez platformę GravityZone) do przeskanowania systemów w poszukiwaniu określonych wersji zarówno systemu operacyjnego, jak i XZ Utils. Szukając systemów z wersją 5.6.0 lub 5.6.1 XZ Utils: wybierz * z pliku gdzie (katalog = „/usr/lib64/” i nazwą pliku taką jak „liblzma.so.5.6.%”) lub (katalog = „/usr/lib/x86_64-linux-gnu” i nazwą pliku, np. „liblzma.so.5.6.%”);

Na podstawie analizy danych zespołu Bitdefender (telemetrii) nie zaobserwowaliśmy żadnych przypadków wykorzystania tej luki w systemach chronionych przez agenta Bitdefender Endpoint Security Toolkit (BEST). Ponadto telemetria Bitdefendera nie zidentyfikowała żadnych systemów, w których działają podatne wersje XZ Utils. Ponadto program antymalware jest już wyposażony w funkcję wykrywania tego backdoora pod nazwą Trojan.Linux.XZBackdoor.*.

Choć wydaje się, że tego backdoora odkryto, zanim mógł wyrządzić rozległe szkody, zawsze ważne jest zachowanie czujności. Będziemy nadal monitorować sytuację i informować Cię na bieżąco o wszelkich nowych wydarzeniach.

Jeśli chcesz uchronić się przed lukami w zabezpieczeniach i innymi zagrożeniami cybernetycznymi, to sprawdź tę stronę.