Zadní vrátka v XZ Utils

Starší logo nástroje XZ Utils, jehož autorem je sám záškodník Jia Tan Zranitelnost v nástroji xz pro operační systém Linux otevírající zadní vrátka (backdoor) odhalil 29. března 2024 počítačový vývojář Andres Freund. Analýza ukázala, že zranitelnost umožňující útočníkovi vzdálené spuštění kódu byla do tohoto otevřeného softwaru zanesena úmyslně přispěvatelem vystupujícím pod jménem Jia Tan v rámci tříletého snažení s využitím sociálního inženýrství, loutkaření a důmyslných krycích technik. V době odhalení nebyly ještě postižené verze 5.6.0 a 5.6.1, vydané v únoru 2024, široce rozšířeny v produkčních systémech, ale byly přítomny v testovacích verzích hlavních distribucí. Zranitelnost, která měla potenciál infikovat miliony počítačů na celém světě, obdržela označení CVE-2024-3094 a nejvyšší možné hodnocení nebezpečnosti 10,0. Odborníci se domnívají, že jde o dílo státem sponzorované hackerské skupiny, nejspíše ruské.

Pozadí

Nástroj XZ Utils slouží ke kompresi a dekompresi dat s využitím formátů xz a lzma. Vývoji tohoto nástroje, přítomného v mnoha linuxových distribucích (včetně Fedory, Slackware, Ubuntu a Debianu), se od roku 2009 věnovala na dobrovolnickém základě malá skupina vývojářů v rámci projektu Tukaani, správcem repozitáře na GitHubu byl Lasse Collin. +more Do jeho přízně se od roku 2021 postupně vetřel přispěvatel pod přezdívkou JiaT75 a jménem Jia Tan (jde nejspíše o smyšlené jméno) a prostřednictvím dalších pravděpodobně loutkových účtů začal vykonávat tlak na rychlejší přijímání jím navrhovaných úprav kódu a získal pro sebe v projektu větší práva.

Mechanismus fungování

Škodlivý binární kód ukryl autor do dvou komprimovaných souborů určených k automatickému testování nástroje, z nichž byl automatickou konfigurační rutinou při výrobě balíčku v GitHubu vytažen a zahrnut do knihovny liblzma. Tuto knihovnu na některých systémech využívá (prostřednictvím démona systemd) software OpenSSH, který slouží k zabezpečenému vzdálenému připojování se uživatelů k serveru. +more Díky této závislosti mohl škodlivý kód ovlivnit proces přihlašování a umožnit útočníkovi vybavenému konkrétním soukromým klíčem získat stejná přístupová práva k systému jako jeho oprávněný správce.

Odkazy

Literatura

Externí odkazy

[url=https://tukaani. org/xz-backdoor/]Oficiální informační webová stránka[/url] * [url=https://www. +moreopenwall. com/lists/oss-security/2024/03/29/4]Původní zpráva o odhalení zadních vrátek od Andrese Freunda[/url].

Kategorie:Programátorské chyby Kategorie:Počítačové útoky Kategorie:Hackerství Kategorie:Události roku 2024 Kategorie:Linux