Cyberbezpieczeństwo
Backdoor w Linuksach. Krytyczna podatność
Autor. Pete Linforth, https://pixabay.com/pl/illustrations/haker-cyberbezpiecze%C5%84stwa-6512174/
Dystrybucje Linuksa wyróżniają się bardzo ważną cechą – są otwartoźródłowe, dzięki czemu każdy może przeanalizować kod danej biblioteki lub samego kernela. Daje to również możliwość wprowadzania zmian do systemów przez pasjonatów wolnego oprogramowania. Ten fakt został wykorzystany przez JiaT75, który dodał tylną furtkę (tzw. backdoor) do największych dystrybucji Linuksa, dzięki czemu mógł przejmować kontrolę nad urządzeniami. Podatność jest krytyczna (10/10 punktów w skali CVSS) i wymaga natychmiastowego działania administratorów. Jej CVE ID to CVE-2024-3094.
W ostatni piątek ukazała się informacja, która zmroziła krew w żyłach każdemu administratorowi Linuksa. Tego dnia opublikowano post o złośliwym kodzie w narzędziu xz, które jest powszechnie wykorzystywane do bezstratnej kompresji. Atakujący mógł uzyskać dostęp do każdego urządzenia, które wykorzystywało xz w wersji 5.6.0 lub 5.6.1. Jest to zagrożenie na masową skalę.
Czytaj też
Znalezienie podatności
Podatność została znaleziona przez Andresa Freunda z Microsoftu. Zauważył, że procesy sshd używają ogromnej ilości mocy obliczeniowej procesora. Po analizie nieudanych prób logowania i kodu xz odkrył, że ten pakiet pozwala atakującemu przejąć kontrolę nad dowolnym urządzeniem, wykorzystującym tę wersję xz.
Czytaj też
Łatanie podatności
Najlepszy schemat działania opisuje jeden z postów na GitHubie:
Autor. Źródło: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
Oficjalny profil Kali Linux na X skomentował:
The xz package, starting from version 5.6.0 to 5.6.1, was found to contain a backdoor. The impact of this vulnerability affected Kali between March 26th to March 29th. If you updated your Kali installation on or after March 26th, it is crucial to apply the latest updates today.
— Kali Linux (@kalilinux) March 29, 2024
If you would like to be sure that you are up to date and not affected by this vulnerability, you can do the following to upgrade your local version of the package: sudo apt update && sudo apt install —only-upgrade liblzma5
— Kali Linux (@kalilinux) March 29, 2024
Jedynym sposobem na załatanie podatności jest aktualizacja pakietu.
Czytaj też
Paradoks Open Source
Sytuacja xz pokazuje, że otwartoźródłowe aplikacje mogą również być narażone na ataki. Warto jednak wspomnieć, że dzięki analizie kodu możliwe było znalezienie backdoora. Podobne działanie byłoby niemożliwe, gdyby taka sama podatność wystąpiła w aplikacji o zamkniętym kodzie źródłowym.
Mimo tego, że podatność była poważna i nieoczywista, została dość szybko znaleziona przez Andreasa. Historia pokazuje, że niektóre podatności były trzymane latami w tajemnicy, np. windowsowe EternalBlue. NSA ukrywało go przez pięć lat - do momentu podejrzenia wycieku, który później spowodował jeden z największych ataków hakerskich – WannaCry.
Czytaj też
Tożsamość sprawcy
Obecnie nie zostało ustalone kim tak naprawdę jest osoba, która wprowadziła zmiany w bibliotece. Wiadomo jednak, że:
- Posługiwała się pseudonimami JiaT75/Jia Tan/Jia Cheong Tan, co jest zbitką kantońskich i mandaryńskich słów;
- Pracowała podczas Chińskiego Nowego Roku;
- Nie pracowała podczas Bożego Narodzenia i Nowego Roku (1 stycznia);
- Prawdopodobnie znajduje się w strefie czasowej UTC+2 lub UTC+3.
Autor. Licencja CC0
Autor. Licencja CC0
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
