Linux 是世界上使用最广泛的开源操作系统,在复活节周末侥幸逃脱了大规模网络攻击,这一切都归功于一名志愿者。
该后门已被插入到最近发布的名为 XZ Utils 的 Linux 压缩格式中,该工具在 Linux 世界之外鲜为人知,但几乎在每个 Linux 发行版中都使用它来压缩大文件,使它们更容易传输。 如果它传播得更广泛,数不清的系统可能会在多年内受到损害。
并作为 技术艺术 其中指出 详尽的回顾,罪魁祸首一直在公开地从事该项目。
该漏洞被插入到 Linux 的远程登录中,仅将自身暴露给单个密钥,因此可以隐藏公共计算机的扫描。 作为 本·汤普森写道 策略。 “世界上大多数计算机都容易受到攻击,但没有人会知道。”
XZ 后门被发现的故事始于 3 月 29 日凌晨,旧金山的微软开发人员 Andres Freund 在 Mastodon 和 发送了一封电子邮件 到 OpenWall 的安全邮件列表,标题为:“上游 xz/liblzma 中的后门导致 ssh 服务器受损。”
Freund 自愿担任基于 Linux 的数据库 PostgreSQL 的“维护者”,他在过去几周运行测试时注意到了一些奇怪的事情。 liblzma(XZ 压缩库的一部分)的加密登录占用了大量 CPU。 弗罗因德在 Mastodon 上写道,他使用的任何表演工具都没有透露任何信息。 这立即让他起了疑心,他记得几周前一位 Postgres 用户对 Valgrind(Linux 的检查内存错误的程序)提出了“奇怪的抱怨”。
经过一番侦查,弗罗因德最终发现了问题所在。 “上游 xz 存储库和 xz tarball 已被设置后门,”Freund 在电子邮件中指出。 恶意代码位于xz工具和库的5.6.0和5.6.1版本中。
不久之后,企业开源软件公司红帽发出了一份 紧急安全警报 针对 Fedora Rawhide 和 Fedora Linux 40 的用户。最终,该公司得出结论,Fedora Linux 40 的测试版包含两个受影响的 xz 库版本。 Fedora Rawhide 版本可能也收到了 5.6.0 或 5.6.1 版本。
请立即停止将任何 Fedora RAWHIDE 实例用于工作或个人活动。 Fedora Rawhide 很快就会恢复到 xz-5.4.x,一旦完成,Fedora Rawhide 实例就可以安全地重新部署。
尽管免费 Linux 发行版 Debian 的 Beta 版包含受感染的软件包,但其安全团队 行动迅速 恢复它们。 “目前已知没有任何 Debian 稳定版本受到影响”,Debian 的 Salvatore Bonaccorso 在周五晚上给用户的安全警报中写道。
Freund 后来确认提交恶意代码的人是 xz Utils 的两名主要开发人员之一,即 JiaT75 或 Jia Tan。 “考虑到几周的活动,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害。 不幸的是,考虑到他们在各种列表上就上述“修复”进行了沟通,后者看起来不太可能是一种解释。”弗罗因德在他的文章中写道。 分析,在链接了 JiaT75 提出的几个解决方法之后。
JiaT75 是一个熟悉的名字:他们曾与 .xz 文件格式的原始开发者 Lasse Collin 并肩工作了一段时间。 正如程序员 Russ Cox 在他的文章中指出的那样 时间线,JiaT75 首先于 2021 年 10 月向 XZ 邮件列表发送明显合法的补丁。
几个月后,该计划的其他部分展开,另外两个身份,Jigar Kumar 和 Dennis Ens, 开始通过电子邮件发送投诉 向 Collin 询问错误和项目开发缓慢的问题。 然而,正如报告中指出的 埃文·博斯 和其他人一样,“Kumar”和“Ens”在 XZ 社区之外从未出现过,这使得调查人员相信这两个都是假货,其存在只是为了帮助 Jia Tan 上位来传递后门代码。
来自“Jigar Kumar”的一封电子邮件,迫使 XZ Utils 的开发商放弃对该项目的控制。 图片:截图自 邮件档案
“我对你的心理健康问题感到抱歉,但了解自己的极限很重要。 我知道这对所有贡献者来说都是一个业余爱好项目,但社区想要更多,”恩斯在一条消息中写道,而库马尔在另一条消息中表示,“除非有新的维护者,否则不会取得进展。”
在这种来来回回的过程中,柯林斯写道:“我并没有失去兴趣,但我的护理能力相当有限,主要是由于长期的心理健康问题,但也由于其他一些原因,”并建议贾坦采取发挥更大的作用。 “最好记住这是一个无偿的爱好项目,”他总结道。 来自“Kumar”和“Ens”的电子邮件一直持续到当年晚些时候 Tan 被添加为维护者,能够进行更改,并尝试以更多权限将后门软件包引入 Linux 发行版。
xz 后门事件及其后果是开源之美和互联网基础设施中惊人漏洞的一个例子。
流行的开源媒体包 FFmpeg 背后的开发人员强调了这个问题 在推文中,说:“xz 的惨败表明,对无偿志愿者的依赖会导致严重问题。 价值数万亿美元的公司期望志愿者提供免费且紧急的支持。” 他们还带来了收据,指出他们如何处理影响 Microsoft Teams 的“高优先级”错误。
尽管微软对其软件有依赖,但开发人员写道,“在礼貌地向微软请求一份长期维护支持合同后,他们提供了一次性支付几千美元的费用……在维护和可持续性方面的投资并不吸引人,而且可能不会让中层经理升职,但多年后会得到千倍的回报。”
一群开发人员和网络安全专业人士正在社交媒体和在线论坛上揭露“JiaT75”幕后黑手、他们如何执行计划以及损害程度的详细信息。 但这种情况的发生并没有得到许多受益于使用安全软件的公司和组织的直接财政支持。
1712104036
2024-04-02 23:38:26
#一名志愿者如何阻止后门在全球范围内暴露 #Linux #系统
