De kwaadaardige code die is ingevoegd in de open-sourcebibliotheek XZ Utils, een veelgebruikt pakket dat aanwezig is in grote Linux-distributies, kan ook de uitvoering van code op afstand vergemakkelijken, zo blijkt uit een nieuwe analyse.
Het gedurfde compromis in de supply chain, gevolgd als CVE-2024-3094 (CVSS-score: 10,0), kwam vorige week aan het licht toen Microsoft-ingenieur en PostgreSQL-ontwikkelaar Andres Freund waarschuwde voor de aanwezigheid van een achterdeur in het datacompressieprogramma dat aanvallers op afstand een kans geeft manier om veilige shell-authenticatie te omzeilen en volledige toegang te krijgen tot een getroffen systeem.
XZ Utils is een opdrachtregelprogramma voor het comprimeren en decomprimeren van gegevens in Linux en andere Unix-achtige besturingssystemen.
De kwaadaardige code zou opzettelijk zijn geïntroduceerd door een van de projectbeheerders genaamd Jia Tan (ook bekend als Jia Cheong Tan of JiaT75) in wat lijkt op een nauwgezette aanval die meerdere jaren heeft geduurd. Het GitHub-gebruikersaccount is in 2021 aangemaakt. De identiteit van de acteur(s) is momenteel onbekend.
“De dreigingsactoren begonnen bijna twee jaar geleden bij te dragen aan het XZ-project, waarbij ze langzaam aan geloofwaardigheid opbouwden totdat ze onderhoudsverantwoordelijkheden kregen”, zei Akamai in een rapport.
Als verdere daad van slimme social engineering zijn er sokpoppenaccounts als Jigar Kumar en Dennis Ens geloofde te zijn gebruikt om functieverzoeken te verzenden en een verscheidenheid aan problemen in de software te rapporteren om de oorspronkelijke onderhouder – Lasse Collin van het Tukaani Project – te dwingen een nieuwe mede-onderhouder aan de repository toe te voegen.
Dan kom je Jia Tan tegen, die in 2023 een reeks wijzigingen in XZ Utils introduceerde, die uiteindelijk in februari 2024 versie 5.6.0 uitbrachten. Ze hadden ook een geavanceerde achterdeur.
“Zoals ik in eerdere e-mails heb aangegeven, kan Jia Tan in de toekomst een grotere rol in het project spelen”, zei Collin in juni 2022 in een gesprek met Kumar.
“Hij heeft buiten de lijst veel geholpen en is praktisch al mede-onderhouder. 🙂 Ik weet dat er nog niet veel is gebeurd in de git-repository, maar de dingen gebeuren in kleine stapjes. In ieder geval is er al enige verandering in het onderhoud in uitvoering, tenminste voor XZ Utils.”
De achterdeur heeft invloed op de tarballs van XZ Utils 5.6.0 en 5.6.1, waarvan de laatste een verbeterde versie van hetzelfde implantaat bevat. Collins heeft sindsdien de schending van het project erkend en verklaard dat beide tarballs zijn gemaakt en ondertekend door Jia Tan en dat ze alleen toegang hadden tot de nu uitgeschakelde GitHub-repository.
“Dit is duidelijk een zeer complexe, door de staat gesponsorde operatie met indrukwekkende verfijning en meerjarenplanning”, aldus firmware-beveiligingsbedrijf Binarly. “Een dergelijk complex en professioneel ontworpen alomvattend implantatieraamwerk is niet ontwikkeld voor een eenmalige operatie.”
Een dieper onderzoek van de achterdeur door open-source cryptograaf Filippo Valsorda heeft ook onthuld dat de getroffen versies specifieke aanvallers op afstand in staat stellen willekeurige ladingen te verzenden via een SSH-certificaat dat zal worden uitgevoerd op een manier die authenticatieprotocollen omzeilt, waardoor effectief de controle over het slachtoffer wordt overgenomen. machine.
“Het lijkt alsof de achterdeur is toegevoegd aan de SSH-daemon op de kwetsbare machine, waardoor een aanvaller op afstand willekeurige code kan uitvoeren”, aldus Akamai. “Dit betekent dat elke machine met het kwetsbare pakket dat SSH blootstelt aan internet potentieel kwetsbaar is.”
Onnodig te zeggen dat de toevallige ontdekking door Freund een van de belangrijkste supply chain-aanvallen is die tot nu toe zijn ontdekt en een ernstige veiligheidsramp had kunnen zijn als het pakket was geïntegreerd in stabiele releases van Linux-distributies.
“Het meest opvallende onderdeel van deze supply chain-aanval is de extreme toewijding van de aanvaller, die meer dan twee jaar heeft gewerkt om zichzelf te profileren als een legitieme onderhouder, die aanbiedt om werk op te pakken in verschillende OSS-projecten en code in meerdere projecten toe te passen om om detectie te voorkomen”, zei JFrog.
Net als in het geval van Apache Log4j benadrukt het incident opnieuw de afhankelijkheid van open-sourcesoftware en door vrijwilligers gerunde projecten, en de gevolgen die dit met zich mee zou kunnen brengen als deze zouden worden aangetast of een grote kwetsbaarheid zouden hebben.
“De grotere oplossing is dat organisaties tools en processen adopteren waarmee ze tekenen van geknoei en kwaadaardige functies kunnen identificeren binnen zowel open source als commerciële code die in hun eigen ontwikkelingspijplijn wordt gebruikt”, aldus ReversingLabs.
