Come un volontario ha impedito a una backdoor di esporre i sistemi Linux in tutto il mondo

Linux, il sistema operativo open source più utilizzato al mondo, è scampato per un pelo a un massiccio attacco informatico durante il fine settimana di Pasqua, tutto grazie a un volontario.

La backdoor è inclusa in una versione recente del formato di compressione Linux chiamata XZ Utils, uno strumento poco conosciuto al di fuori del mondo Linux ma utilizzato in quasi tutte le distribuzioni Linux per comprimere file di grandi dimensioni, facilitandone il trasferimento. Se il virus si fosse diffuso più ampiamente, innumerevoli sistemi sarebbero rimasti vulnerabili per anni.

E come Ars Tecnica notato dentro Riepilogo completoL'autore del reato stava lavorando al progetto in pubblico.

La vulnerabilità, introdotta nell'accesso remoto di Linux, si esponeva solo a una singola chiave, quindi poteva nascondersi dalle scansioni dei computer pubblici. Piace Ben Thompson scrive Strachry. “La maggior parte dei computer del mondo saranno vulnerabili e nessuno lo saprà”.

La storia della scoperta della backdoor XZ inizia la mattina presto del 29 marzo, come ha pubblicato Anders Freund, sviluppatore Microsoft con sede a San Francisco, su Mastodon e ho inviato un'email Alla mailing list sulla sicurezza di OpenWall con il titolo: “xz/liblzma upstream backdoor porta alla compromissione del server ssh.”

Freund, che offre volontariato come “supervisore” presso PostgreSQL, un database basato su Linux, ha notato alcune cose strane nelle ultime settimane durante l'esecuzione dei test. Gli accessi crittografati a liblzma, parte della libreria di compressione XZ, consumavano una quantità significativa di CPU. Nessuno degli strumenti di performance che ha utilizzato ha rivelato nulla”, ha scritto Freund in Mastodon. Ciò ha immediatamente destato i suoi sospetti e ha ricordato una “strana lamentela” di un utente Postgres qualche settimana prima riguardo a Valgrind, un programma Linux che controlla gli errori di memoria.

Dopo alcune indagini, Freund alla fine scoprì cosa non andava. “XZ Warehouse e XZ Tar Balls hanno chiuso”, ha osservato Freund nella sua e-mail. Il codice dannoso era presente nelle versioni 5.6.0 e 5.6.1 degli strumenti e delle librerie xz.

Poco dopo, la società di software open source Red Hat ha inviato un messaggio Avviso di sicurezza di emergenza Per gli utenti di Fedora Rawhide e Fedora Linux 40. Alla fine, la società ha concluso che la beta di Fedora Linux 40 contiene due versioni interessate delle librerie xz. È possibile che le versioni di Fedora Rawhide abbiano ricevuto anche la versione 5.6.0 o 5.6.1.

Si prega di interrompere immediatamente l'uso dei prodotti FEDORA RAWHIDE per attività lavorative o personali. Presto verrà eseguito il rollback di Fedora Rawhide a xz-5.4.x e, una volta fatto ciò, le istanze di Fedora Rawhide potranno essere ridistribuite in sicurezza.

Sebbene la versione beta di Debian, una distribuzione Linux gratuita, contenga pacchetti compromessi dal suo team di sicurezza Ho agito rapidamente Per tornare a loro. “Al momento, nessuna versione stabile di Debian è interessata”, ha scritto Salvatore Bonaccorso di Debian in un avviso di sicurezza agli utenti venerdì sera.

Freund ha successivamente identificato la persona che ha inviato il codice dannoso come uno dei due principali sviluppatori di xz Utils, noto come JiaT75 o Jia Tan. “Dato che l'attività va avanti da diverse settimane, l'autore del reato o era direttamente coinvolto oppure c'era una grave compromissione del suo sistema. Sfortunatamente quest'ultima sembra essere la spiegazione meno probabile, dato che hanno parlato in diversi elenchi delle “risoluzioni” ' menzionato sopra”, ha scritto Freund nel suo libro. analisidopo aver collegato diverse soluzioni realizzate da JiaT75.

JiaT75 era un nome familiare: avevano lavorato a fianco dello sviluppatore originale del formato file .xz, Lasse Collin, per un po'. Come ha sottolineato il programmatore Ross Cox nel suo libro orarioJiaT75 ha iniziato a inviare patch apparentemente legittime alla mailing list XZ nell'ottobre 2021.

Altri rami dello schema furono rivelati pochi mesi dopo, poiché altre due identità, Jigar Kumar e Dennis Ince, Hanno iniziato ad inviare reclami via e-mail A Colin per gli errori e il lento sviluppo del progetto. Tuttavia, come notato nei rapporti Evan Buhs Altri, “Kumar” e “Ins” non sono mai stati visti al di fuori della comunità XZ, portando gli investigatori a credere che siano entrambi falsi che esistono solo per aiutare Jia Tan ad accedere alla sua posizione per fornire il codice backdoor.

“Mi dispiace per i tuoi problemi di salute mentale, ma è importante essere consapevoli dei tuoi limiti. “Mi rendo conto che questo è un progetto hobby per tutti i contributori, ma la comunità vuole di più”, ha scritto Ince in un messaggio, mentre Kumar ha detto in un altro: “Non ci saranno progressi” finché non ci sarà un nuovo supervisore”.

Nel mezzo del botta e risposta, Collins ha scritto: “Non ho perso interesse, ma la mia capacità di prendermi cura è stata in qualche modo limitata a causa di problemi di salute mentale a lungo termine ma anche di altre cose”, e ha suggerito che Jia Tan assumesse un ruolo più ampio. “È anche bene tenere presente che si tratta di un progetto hobby non retribuito”, ha concluso. Le email di Kumar ed Ens continuarono fino a quando Tan fu aggiunto come moderatore nello stesso anno, per poter apportare modifiche e tentare di introdurre il pacchetto backdoor nelle distribuzioni Linux con maggiore autorità.

L'incidente della backdoor xz e le sue conseguenze sono un esempio della bellezza dell'open source e dell'incredibile vulnerabilità dell'infrastruttura di Internet.

Uno sviluppatore di FFmpeg, un popolare pacchetto multimediale open source, ha evidenziato il problema In un tweet“Il fiasco di xz ha dimostrato come fare affidamento su volontari non retribuiti possa causare grossi problemi. Le aziende da trilioni di dollari si aspettano un supporto gratuito e urgente dai volontari. Hanno portato ricevute che indicano come hanno gestito un bug “ad alta priorità” che ha colpito Microsoft Teams.

Nonostante la dipendenza di Microsoft dal suo software, lo sviluppatore ha scritto: “Dopo aver gentilmente richiesto a Microsoft un contratto di supporto per la manutenzione a lungo termine, hanno invece offerto un pagamento una tantum di poche migliaia di dollari… Gli investimenti nella manutenzione e nella sostenibilità non sono attraenti e un dirigente intermedio probabilmente non lo capirà.” Per la sua promozione lo pagherà addirittura mille volte nel corso di molti anni.

I dettagli su chi c'è dietro JiaT75, come verrà portato avanti il ​​loro piano e l'entità del danno sono stati rivelati da un esercito di sviluppatori e professionisti della sicurezza informatica, sia sui social media che sui forum online. Ma ciò avviene senza il sostegno finanziario diretto da parte delle numerose aziende e organizzazioni che traggono vantaggio dalla possibilità di utilizzare software sicuro.