مستخدمي المصادر المفتوحة أدوات XZ ربما تكون مكتبة ضغط البيانات قد تجنبت بصعوبة الوقوع ضحية لهجوم كبير على سلسلة التوريد، بعد وجود دليل على ما يبدو أنه تم وضعه عمدا الباب الخلفي في الكود تم الكشف عنه.
أتاحت التعليمات البرمجية الضارة، المضمنة في الإصدارين 5.6.0 و5.6.1 من المكتبة، الوصول غير المصرح به إلى توزيعات Linux المتأثرة، وكانت على مدار الأيام القليلة الماضية موضوع تنبيهات من أمثال ريد هات والولايات المتحدة وكالة الأمن السيبراني وأمن البنية التحتية (سيسا).
وأوضح ريد هات أن البنية الخبيثة تتداخل مع المصادقة عبر صدفه آمنه (سش). وقالت في تحذيرها: “في ظل الظروف المناسبة، قد يؤدي هذا التدخل إلى تمكين جهة ضارة من كسر مصادقة SSH والحصول على وصول غير مصرح به إلى النظام بأكمله عن بعد”.
بحسب جي فروج، الهدف النهائي للباب الخلفي هو تمكين ممثل خبيث من حقن التعليمات البرمجية في خادم OpenSSH الذي يعمل على الجهاز المستهدف وتمكين مهاجمين محددين عن بعد من إرسال حمولات عشوائية عبر SSH يتم تنفيذها قبل المصادقة والاستيلاء على الهدف.
لقد تم تعيينه بالتعيين CVE-2024-3094 و يعود الفضل في اكتشافه إلى أندرو فرويند، أحد مطوري Microsoft الذي تم توجيهه إلى التعليمات البرمجية بعد أن اكتشف فشل عمليات تسجيل الدخول إلى SSH باستخدام أحمال عالية لوحدة المعالجة المركزية.
يبدو أن الباب الخلفي نفسه قد تم تقديمه للمشروع في فبراير، ولكن تم العثور عليه بواسطة Freund قبل نشره بالكامل في البرية – على الرغم من أن بعض توزيعات Linux، بما في ذلك Red Hat Fedora Linux 40 وFedora Rawhide، ربما تكون قد تلقت الكود الملوث بالفعل .
التوزيعات السائدة الأخرى، بما في ذلك ديبيان لينكس, كالي لينكس و سوزي، وقد أصدروا نصائحهم الخاصة بشأن هذه المسألة.
جهد ملتزم بعمق
يبدو أن الباب الخلفي كان من عمل شخص يمر بالمقبض JiaT75، وفقا لتحقيق واسع أجراه آرس تكنيكا، قدمت مساهمات واسعة النطاق لمشروع XZ Utils على مدى عدد من السنوات.
في ظاهر الأمر، تشير الأدلة إلى وجود جهد منسق وملتزم للغاية من جانب JiaT75 لإخفاء أعين الجميع. ومع ذلك، لا يُعرف سوى القليل حتى الآن عن هذا الشخص، ومن المهم ملاحظة احتمال ألا يكون هو الطرف المذنب؛ ربما تعرضوا للخطر بأنفسهم.
سوميترا داس, كواليس وقال نائب رئيس التكنولوجيا، إن حادثة XZ Utils كانت لها أصداء سيئة السمعة حادثة SolarWinds-Sunburst، مع إدخال التعليمات البرمجية بصمت للسماح بالوصول غير المصادق عن بعد.
وقال: “من غير الواضح ما هي سلسلة القتل الكاملة للهجوم بمجرد بدء الهجوم، ولكن من الصعب جدًا اكتشاف مثل هذه الهجمات بشكل عام في مرحلة مبكرة”. “هذه الأنواع من الحوادث تسلط الضوء بشكل أكبر على الحاجة إلى الدفاع بعمق لتوفير عمليات الكشف في مراحل مختلفة من سلسلة القتل.”
وأشار داس أيضًا إلى ذلك تحول الاختبار الأيسر – التي توصف عمومًا كوسيلة لتعزيز سلامة التعليمات البرمجية الجديدة – لم تقدم ضمانات كافية ضد سيناريو الاستغلال المفترض، ولم يكن من الجيد مراقبة سلوك النظام على الشبكة أو نقطة النهاية للثنائيات الضارة. وادعى أن القيادة والسيطرة (C2) أو غيرها من الأنشطة الشاذة ستكون ضرورية للحصول على أي فرصة لاكتشافها.
وقال داس: “هذا… يسلط الضوء على الحاجة إلى فهم سلسلة توريد البرمجيات لدينا بشكل أفضل”. “سبوم هي مجرد خطوة أولى تخبرنا عن مكونات البرنامج. وستكون الخطوة التالية هي التحقق من مصدر تلك المكونات بأنفسهم. إن ملتزم GitHub الذي وضع هذا الأمر، وكيفية الحفاظ على هذا المكون مفتوح المصدر ومن يقوم به، كلها أسئلة ذات صلة يجب أن نأخذها في الاعتبار.
يُنصح المطورون والمستخدمون بإرجاع إصدار XZ Utils إلى إصدار غير منقوص على الفور، قبل إجراء عملية بحث شاملة عن أي نشاط ضار.
