Разделы

Безопасность Техника

В популярную библиотеку под Linux заложили бэкдор. Скандал случился невероятный

Кто-то по злому умыслу внедрил опасный бэкдор, обеспечивающий злоумышленников скрытым доступом в уязвимые системы. Бэкдор уже попал в несколько популярных дистрибутивов Linux.

Контрабандный код

Компания Red Hat накануне выходных выпустила срочный бюллетень безопасности, посвящённый обнаружению бэкдора в двух версиях популярной библиотеки сжатия данных XZ Utils (ранее известной как LZMA Utils). Вредоносный код обеспечивает потенциальным злоумышленникам возможность неавторизованного доступа в уязвимые системы. XZ Utils чрезвычайно популярна и используется с большинством основных дистрибутивов Linux, а также с множеством приложений для Linux и macOS. Вредоносный код уже успел попасть в ряд мартовских сборок.

Бэкдору присвоен статус десятибалльной уязвимости по шкале CVSS (индекс CVE-2024-3094). Однако эта проблема возникла не вследствие недочёта программистов, а в результате намеренных действий. Известен и наиболее вероятный автор коммитов, которые обеспечили появление бэкдора, который позволяет выполнить произвольный код в системе, не оставляя следов в логах sshd.

В описании проблемы Red Hat говорится: «Посредством серии сложных обфускаций процесс сборки liblzma извлекает предварительно созданный объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для изменения определенных функций в коде liblzma. В результате получается модифицированная библиотека liblzma, которую может использовать любое программное обеспечение, связанное с этой библиотекой, перехватывающее и изменяющее взаимодействие данных с этой библиотекой».

Популярная библиотека Linux была скомпрометирована злоумышленником

Вредоносный код нацелен на процесс демона sshd через пакет systemd, что в теории позволяет злоумышленнику взломать авторизацию sshd и получить удалённый доступ к системе.

В публикации компании JFrog указывается, что вредонос должен внедрять код в сервер OpenSSH (собственно, sshd), запущенный на целевой машине, и позволить злоумышленникам, обладающим конкретным приватным ключом, отправлять на неё произвольный код, который будет запускаться ещё до этапа авторизации. Следовательно, у злоумышленников будет возможность захватить полный контроль над системой.

Уязвимость выявил исследователь Microsoft Андрес Фройнд (Andres Freund).

Кто это сделал?

Хорошо замаскированный вредоносный код был встроен в результате серии коммитов в проект Tukaani Project на GitHub, произведённых пользователем JiaT75; гражданское имя - Цзя Тань (Jia Tan).

По данным разработчика Эвана Боуэса (Evan Boehs), аккаунт JiaT75 и уже первый коммит, исходивший от него, вносил вероятную уязвимость; в дальнейшем оператор этого аккаунта смог - при интенсивной поддержке нескольких, вероятнее всего, поддельных аккаунтов - втереться в группу разработчиков XZ и к 2024 г. фактически захватил контроль над Tukaani Project. И активно настаивал на включении ряда изменений (вредоносных, как оказалось) в финальные версии различных пакетов.

Георгий Джабиев, T1 Cloud: «Отчуждаемое» облако — новая модель аренды ИТ-инфраструктуры для крупного бизнеса и государства
Маркет

Администраторы Microsoft, которой принадлежит GitHub, ликвидировали весь репозиторий XZ Utils, принадлежавший Tukaani Project. Это затруднило анализ прошлых действий JiaT75.

Боуэс считает, что имя Jia Tan тоже является фиктивным.

«Имеющиеся на данный момент сведения указывают на многоэтапную операцию по внедрению исключительно опасного бэкдора для узконаправленных атак; пользоваться им смогли бы только определённые люди», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, всю эту операцию прервали до того, как она была завершена, но отнюдь не сразу: бэкдор в XZ выдал себя лишь заметным воздействием на производительность системы Андреса Фройнда. «И возникает вопрос, сколько других подобных проектов могли быть втихую троянизированы, не получили должного аудита и были успешно использованы по злонамеренному назначению», - подытожила Анастасия Мельникова.

Уязвимые и безопасные Linux

Информации об активной эксплуатации на данный момент нет; однако целый ряд дистрибутивов Linux получили вредоносные библиотеки и сделались уязвимыми.

В их числе Fedora Linux 41 и Fedora Rawhide (пользователям Fedora Linux 40 на всякий случай рекомендовано откатиться обратно к версии 5.4); Arch Linux - все версии, выпущенные между 24 февраля и 28 марта 2024 г.; сборки Kali Linux, выпущенные между 26 и 29 марта; openSUSE Tumbleweed и openSUSE MicroOS (вышедшие между 7 и 28 марта) и тестовые сборки Debian от 5.5.1alpha-0.1 до 5.6.1-1.

Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise и Leap, а также Ubuntu вредоносных библиотек не получили и считаются безопасными.

Роман Георгиев