Бэкдор был обнаружен Андресом Фройндом, инженером-программистом из Microsoft когда он тестировал некоторые вещи на установках Debian sid (т.е. разработки) и хотел выяснить, почему логины SSH потребляют много процессорной мощности и почему появляются ошибки.
Проблема, как он обнаружил, была в библиотеке сжатия данных liblzma, которая является частью пакета XZ, и он сделал вывод, что «репозиторий xz и tarballs xz были взломаны».
Отметив, что он не является исследователем безопасности или реверс-инженером, ему удалось получить довольно много вещей во время тестирования и, что более важно, он сообщил о проблеме в Debian и другие дистрибутивы Linux.
Эти публичное откровение, а затем подтверждение Red Hat что некоторые версии Fedora Linux содержат бэкдорные версии библиотек XZ, стали лишь началом лавины информации и домыслов, опубликованных в последнее время.
На какие дистрибутивы Linux повлияли пакеты XZ с бэкдором?
- Компания Red Hat сообщила, что Fedora Rawhide (текущая версия разработки Fedora Linux) и Fedora Linux 40 beta содержат затронутые версии (5.6.0, 5.6.1) библиотек xz, и что ни одна версия Red Hat Enterprise Linux (RHEL) не затронута.
- Сопровождающие OpenSUSE сообщили, что OpenSUSE Tumbleweed и OpenSUSE MicroOS включали пораженную версию xz в период с 7 по 28 марта, и дали совет, что должны делать их пользователи. «Было установлено, что вредоносный файл, внедренный в Tumbleweed, не присутствует в SUSE Linux Enterprise
- Сопровождающие Debian сообщили, что «ни одна стабильная версия Debian не затронута», но что скомпрометированные пакеты были частью тестовых, нестабильных и экспериментальных дистрибутивов Debian, и их пользователям «настоятельно рекомендуется обновить пакет xz-utils».
- Пользователи Kali Linux, обновившие свою установку в период с 26 по 29 марта, затронуты проблемой, OffSec подтверждено .
- Некоторые образы виртуальных машин и контейнеров Arch Linux и установочный носитель contained затронутых версий XZ.
- Ubuntu сообщили что ни одна из выпущенных версий Ubuntu не была затронута этой проблемой.
- Linux Mint – не затронут.
- Gentoo Linux – не затронут.
- Amazon Linux -не затронут.
- Alpine Linux – не затронуты.
Пользователи должны следовать инструкциям, предоставленным сопровождающими их дистрибутива Linux, и есть
script для проверки, использует ли ваша система бэкдорную версию библиотеки liblzma.
«Любая система, в которой были установлены затронутые пакеты, должна рассматриваться как потенциальный инцидент безопасности и исследоваться, чтобы определить, был ли использован бэкдор»,
- Бар Кадури, руководитель исследовательской группы в Orca Security
Бэкдор XZ
XZ Utils – это инструмент командной строки для сжатия/распаковки файлов .xz.
Установлено, что XZ Utils версий 5.6.0 и 5.6.1 подверглась взлому. Бэкдор находится в библиотеке liblzma пакета, которая используется sshd (т. е. демоном SSH), прослушивающим SSH соединения.
«Бэкдор, обнаруженный в xz-utils, является сложным и непрямым, проявляющимся только при определенных условиях. Хотя все его возможности еще изучаются, нам известно, что он может быть запущен удаленными непривилегированными системами, подключающимися к публичным портам SSH. Такая активация может привести к проблемам с производительностью и потенциально нарушить целостность системы»
- сообщил исследователь безопасности Офек Хавив (Ofek Haviv)
Кто это сделал?
Автором XZ Utils был и остается Лассе Коллин, но бэкдор был внедрен человеком под ником «Jia Tan» (JiaT75 на GitHub), который стал в течение нескольких лет, с помощью аккаунтов sock puppet и создания доверия с помощью социальной инженерии, активным сопровождающим этого программного обеспечения.
Комментарии (0)