I cybersikkerhedens verden har den nylige afsløring af en bagdør, der næsten smelter sammen med den allestedsnærværende xz Utils, et datakomprimeringsværktøj, der er meget udbredt i Linux og Unix-lignende systemer, sendt chokbølger gennem teknologimiljøet. De potentielt katastrofale konsekvenser af denne næsten-uheldige hændelse understreger vigtigheden af årvågenhed og gennemsigtighed i open source-softwareudvikling.
Hvad er xz Utils?
xz Utils er et sæt open source-datakomprimeringsværktøjer designet til Unix-lignende operativsystemer, især Linux. Det tilbyder tabsfri komprimering, hvilket betyder, at data kan komprimeres og dekomprimeres uden tab af information.
I sin kerne drejer xz Utils sig primært om xz-formatet, som er kendt for sit høje komprimeringsforhold og effektive udnyttelse af systemressourcer. Det bruges almindeligvis til at komprimere store filer eller arkiver, hvilket gør det til et vigtigt værktøj til softwaredistribution, systembackups og datalagring.
Ud over xz-formatet understøtter xz Utils også det ældre .lzma-format, som var dets forgænger. Denne bagudkompatibilitet sikrer, at ældre systemer og software stadig kan interagere med filer, der er komprimeret ved hjælp af xz Utils.
Samlet set er xz Utils en afgørende komponent i Unix-lignende systemer, der leverer effektive og pålidelige datakomprimeringsfunktioner, der er essentielle for forskellige computeropgaver, såsom SSH (Secure Shell) tjenester.
Hvad er SSH?
SSH, som står for Secure Shell, er en kryptografisk netværksprotokol, der bruges til sikker kommunikation over et usikkert netværk. Det giver brugerne mulighed for sikker adgang til og administration af eksterne systemer og enheder over et netværk, f.eks. internettet. SSH tilbyder et sikkert alternativ til traditionelle protokoller som Telnet, der transmitterer data i klartekst, hvilket gør dem sårbare over for aflytning og uautoriseret adgang.
Her er nogle af SSH's vigtigste funktioner og funktioner:
Sikker fjernadgangSSH gør det muligt for brugere at logge sikkert ind på eksterne systemer og udføre kommandoer på disse systemer eksternt. Dette bruges almindeligvis af systemadministratorer til at administrere servere og netværksenheder.
DatakrypteringSSH krypterer alle data, der transmitteres mellem klienten og serveren, herunder brugernavne, adgangskoder og kommandoer, ved hjælp af kryptografiske algoritmer. Dette sikrer, at følsomme oplysninger forbliver fortrolige og ikke kan opsnappes af angribere.
GodkendelseSSH understøtter forskellige godkendelsesmetoder, herunder adgangskodebaseret godkendelse, offentlig nøglegodkendelse og interaktiv tastaturgodkendelse. Offentlig nøglegodkendelse betragtes som mere sikker og foretrækkes ofte til automatiserede processer og sikker adgang uden behov for adgangskoder.
Port ForwardingSSH understøtter portvideresendelse, hvilket giver brugerne mulighed for sikkert at tunnelere netværksforbindelser mellem lokale og eksterne systemer. Denne funktion er nyttig til sikker adgang til tjenester, der kører på eksterne systemer, eller til at omgå firewallrestriktioner.
Sikker filoverførselSSH inkluderer værktøjer som SCP (Secure Copy) og SFTP (SSH File Transfer Protocol) til sikker filoverførsel mellem systemer. Disse værktøjer krypterer filoverførsler og giver godkendelse for at sikre dataintegritet og fortrolighed.
SSH er et vigtigt værktøj til sikker adgang til og administration af eksterne systemer, der leverer kryptering, godkendelse og andre sikkerhedsfunktioner for at beskytte følsomme oplysninger og sikre sikker kommunikation over netværk.
Afdækning af xz Utils bagdør
Opdagelsen af bagdøren var intet mindre end et held, som blev afsløret af Andres Freund, en udvikler der arbejder på Microsofts PostgreSQL-løsninger. Under fejlfinding af ydeevneproblemer på et Debian-system bemærkede Freund unormal adfærd i SSH (Secure Shell) logins, hvilket i sidste ende kunne spores tilbage til ondsindede opdateringer i xz Utils.
Ved nærmere eftersyn blev det afsløret, at version 5.6.0 og 5.6.1 af xz Utils indeholdt en bagdør, der manipulerede med den eksekverbare SSH-fil, hvilket potentielt tillod ondsindede aktører at udføre vilkårlig kode på kompromitterede systemer.
Tidslinjen for bagdøren
Tidslinjen for begivenhederne op til denne afsløring tegner et foruroligende billede af bevidst infiltration i open source-projekter. Det ser ud til, at en bruger identificeret som JiaT75 igangsatte subtile ændringer i open source-projekter og vandt gradvist troværdighed i fællesskabet. Disse ændringer kulminerede i indsættelsen af en bagdør i xz Utils, hvilket udnyttede den tillid og det samarbejde, der er forbundet med open source-udvikling.
2021:
JiaT75s indledende aktivitet. I 2021 foretog en bruger med brugernavnet JiaT75 sin første kendte commit til et open source-projekt. En bemærkelsesværdig ændring blev foretaget i libarchive-projektet, der erstattede safe_fprint fungere med en variant, der var mindre sikker. Denne ændring gik ubemærket hen på det tidspunkt.
2022:
Introduktion til xz Utils. JiaT75 indsendte en programrettelse til xz Utils mailinglisten, hvilket indikerer involvering i udviklingen af xz Utils. Kort efter deltog en tidligere uset deltager ved navn Jigar Kumar i diskussionerne og udtrykte utilfredshed med projektets vedligeholdelse.
Pres for forandring. Kumar, sammen med støtter som Dennis Ens og andre nye på mailinglisten, pressede Lasse Collin, den mangeårige vedligeholder af xz Utils, til at ansætte yderligere udviklere for at vedligeholde projektet. Dette pres banede potentielt vejen for yderligere infiltration.
Januar xnumx:
Aktiv involvering: JiaT75, nu under navnet Jia Tan, foretog deres første engagement i xz Utils. I løbet af de følgende måneder blev Tan mere og mere involveret i xz Utils' anliggender og foretog handlinger som at erstatte Collins kontaktoplysninger med deres egne på oss-fuzz, et projekt til scanning af sårbarheder i open source-software.
2024 Februar:
Implementering af bagdøren: Tan udstedte commits til version 5.6.0 og 5.6.1 af xz Utils, som inkluderede implementeringen af bagdøren. Disse opdateringer gik stort set ubemærket hen i starten, da bagdøren fungerede diskret i softwaren.
Appeller om integration: Efter implementeringen af bagdøren appellerede Tan eller hans medskyldige til udviklere af større Linux-distributioner, herunder Ubuntu, Red Hat og Debian, om at integrere opdateringerne i deres operativsystemer. En af opdateringerne endte med at blive integreret i udgivelserne af Debian- og Red Hat-distributionerne.
Opdagelsen af bagdøren:
Andres Freunds undersøgelse: Bagdøren blev afsløret af Andres Freund, en udvikler der arbejder på Microsofts PostgreSQL-løsninger. Freund bemærkede unormal opførsel i SSH-login på et Debian-system og sporede problemet tilbage til opdateringer i xz Utils.
Afsløring på Open Source-sikkerhedslisten: Fredag afslørede Freund tilstedeværelsen af bagdøren på Open Source-sikkerhedslisten og afslørede dermed den bevidste placering af bagdøren i xz Utils.
Efter opdagelsen:
Analyse og afbødning: Sikkerhedsforskere og -udviklere arbejdede flittigt på at analysere de skadelige opdateringer og udvikle værktøjer til at opdage og afbøde potentielle forekomster af bagdøren. Forskellige værktøjer og metoder, herunder adfærdsanalyse og reverse engineering, blev anvendt til at håndtere truslen.
Tidslinjen fremhæver den gradvise infiltration og manipulation af et open source-projekt, hvilket fører til den næsten succesfulde implementering af en bagdør i et udbredt softwareværktøj, hvilket understreger vigtigheden af årvågenhed og granskning i softwareudviklings- og vedligeholdelsesprocesser.
Forstå bagdøren
Bagdørens sofistikerede karakter ligger i dens evne til at undgå detektion og udføre skadelige data med præcision. Ved at manipulere den eksekverbare SSH-fil via xz Utils kan angribere potentielt kompromittere følsomme systemer og stjæle kritiske data.
Afhjælpning af truslen
I kølvandet på denne opdagelse har cybersikkerhedsmiljøet samlet sig for at vurdere og afbøde truslen fra bagdøren. Værktøjer som f.eks. Binært og xzbot er dukket op for at hjælpe med at opdage og analysere potentielle forekomster af bagdøren.
Valgrinds rolle
Valgrind, et værktøj til overvågning af computerhukommelse, spillede en afgørende rolle i at afdække de ondsindede opdateringer i xz Utils. Ved at identificere uregelmæssigheder i CPU-forbrug og hukommelsesoperationer var udviklere i stand til at identificere kilden til problemet og forhindre udbredt udnyttelse. Valgrind er en open source-programmeringsværktøjspakke designet til fejlfinding og profilering af applikationer. Den tilbyder en række værktøjer, der hjælper udviklere med at identificere hukommelseslækager, registrere hukommelsesfejl, profilere hukommelsesforbrug og analysere programkørsel. Nogle nøglefunktioner og komponenter i Valgrind:
Detektion af hukommelsesfejlValgrind inkluderer værktøjer som Memcheck, der registrerer forskellige hukommelsesrelaterede fejl i programmer, herunder hukommelseslækager, ugyldig hukommelsesadgang (såsom læsning fra eller skrivning til uinitialiseret hukommelse) og forkert håndtering af dynamisk hukommelsesallokering (f.eks. frigørelse af hukommelse, der allerede er frigjort).
Detektion af trådfejlValgrinds ThreadSanitizer (TSan)-værktøj registrerer datakapløb og andre trådfejl i flertrådede programmer. Det hjælper med at identificere samtidighedsfejl, der kan føre til uforudsigelig adfærd og vanskelige fejlfindingsproblemer.
ProfileringValgrind leverer profileringsværktøjer som Callgrind og Cachegrind, der hjælper med at analysere programydelse ved at måle funktionskaldsfrekvenser, cacheforbrug og udførelsestid. Disse værktøjer hjælper udviklere med at identificere flaskehalse og optimere ydeevnen af deres applikationer.
ProgramudførelsesanalyseValgrinds værktøjer kan også spore udførelsen af programmer på instruktionsniveau, hvilket giver udviklere mulighed for at analysere programadfærd i detaljer. Dette kan være nyttigt til at forstå programflow, identificere flaskehalse i ydeevnen og diagnosticere svært tilgængelige fejl.
PlatformsstøtteValgrind bruges primært på Unix-lignende operativsystemer, herunder Linux, macOS og BSD-varianter. Det understøtter en bred vifte af programmeringssprog og compilere, herunder C, C++ og Fortran, og kan integreres i forskellige udviklingsmiljøer og byggesystemer.
Indvirkning på leverandørlandskabet
Opdagelsen af bagdøren i xz Utils har givet genlyd i hele leverandørlandskabet og ført til betydelige bekymringer og proaktive foranstaltninger blandt softwareleverandører. I betragtning af den udbredte integration af xz Utils i forskellige Linux-distributioner er de potentielle konsekvenser af bagdørens infiltration vidtrækkende. Leverandører har nu til opgave at revurdere deres softwareforsyningskæder, granske afhængigheder og styrke deres udviklings- og distributionspipelines mod lignende trusler. Hændelsen understreger den kritiske betydning af gennemsigtighed, kodegennemgangsprocesser og sikkerhedsrevisioner i open source-softwareudvikling. Desuden tjener den som en stærk påmindelse om behovet for løbende årvågenhed og samarbejde inden for softwarefællesskabet for at beskytte mod ondsindede aktører, der søger at udnytte sårbarheder i udbredte softwarekomponenter. Leverandører står nu over for udfordringen med at genoprette tilliden blandt brugerne, implementere strenge sikkerhedsprotokoller og fremme en ansvarlighedskultur for at afbøde de risici, som sådanne sårbarheder udgør i fremtiden.
RELIANOID Load Balancer Der er blevet leveret opdateringer, og bagdøren blev ikke påvirket i vores løsninger. Kontakt eksperterne for mere information.
Nyd webstedets pålidelighedsoplevelse!
Relaterede blogs
