تهديد البرمجيات مفتوحة المصدر “XZ Utils” يثير القلق

أندريس فرويند، مهندس برمجيات في شركة مايكروسوفت، اكتشف الباب الخلفي تم إدراجه في نسختين من برنامج ضغط البيانات XZ Utils، والذي يُستخدم في مجموعة متنوعة من توزيعات Linux. بالرغم من الضعف (CVE-2024-3094) تم اكتشافها مبكرًا، وقد أثارت محادثة حول دور البرامج مفتوحة المصدر في سلسلة التوريد والمخاطر المحتملة.

كيف تم إدخال هذا الباب الخلفي، وكيف يمكن أن يجعل قادة أمن المؤسسات يفكرون في الطريقة التي تعتمد بها مؤسساتهم على البرامج مفتوحة المصدر؟

حملة الهندسة الاجتماعية

الكود الخبيث يعرض للخطر مكتبات الإصدارين 5.6.0 و5.6.1وفقًا لشركة البرمجيات مفتوحة المصدر Red Hat. الكود، المتضمن فقط في حزمة تنزيل tarball، “… يمكن أن يمكّن ممثلًا خبيثًا من كسر مصادقة sshd والحصول على وصول غير مصرح به إلى النظام بأكمله عن بُعد”، وفقًا لما ذكره أحد الباحثين. مدونة ريد هات.

كان هذا التسوية في سلسلة التوريد نتيجة لهجوم الهندسة الاجتماعية الذي تم تنفيذه بعناية. أنشأ جيا تان (JiaT75)، الممثل الرئيسي المعني، حسابًا على GitHub في عام 2021. وعلى مدار العامين التاليين، جعل الممثل من نفسه عضوًا مفيدًا في مجتمع المصادر المفتوحة.

بدأ Lasse Collin، المشرف الأصلي على المشروع مفتوح المصدر، في الاستلام انتقادات بشأن التحديثات البطيئة. كان جيا تان مستعدًا لتولي دور المشرف، وفتح الباب أمام حقن الكود الخبيث. من غير المؤكد ما إذا كان المستخدمون الذين يقفون وراء الشكاوى يتعاونون مع جيا تان، وفقًا لتقارير Wired.

متعلق ب:‘ستتصل بمن؟’ حث أصحاب المصلحة في مجال أمن OSS على “التدفقات المتقاطعة”

من المحتمل أن تكون هذه الحملة طويلة الأمد من عمل أكثر من شخص واحد، ومن المحتمل أن تكون مجموعة APT. “يمثل الهجوم نفسه هندسة اجتماعية منسقة وتطورًا تقنيًا. لم يعمل المهاجمون على الحصول على حق الوصول لمدة عامين تقريبًا فحسب، بل بذلوا أيضًا جهدًا لتطوير كود اختبار كان مفيدًا للمشروع. أكرونيس، وهي شركة للأمن السيبراني وحماية البيانات، تقول لـ InformationWeek في مقابلة عبر البريد الإلكتروني. “الباب الخلفي رائع من منظور هندسة البرمجيات. وهو يتألف من مراحل متعددة ومن الواضح أنه يتطلب جهدًا كبيرًا لتطويره.

تم تجنب كارثة محتملة

في حين أن اختراق XZ Utils قد أطلق أجراس الإنذار في جميع أنحاء مجتمع الأمان، إلا أن التأثير كان من الممكن أن يكون أسوأ بكثير. “لا أعتقد أن هناك الكثير مما يدعو للقلق لأن هذا الباب الخلفي بالتحديد لم يصل إلى توزيعات الخط الرئيسي. يوضح مهران فريماني، الرئيس التنفيذي للشركة: “لقد تم اكتشافها في وقت مبكر”. رابيدفورت، شركة إدارة الثغرات الأمنية.

ولكن هذا الحادث بمثابة تحذير. ماذا سيحدث إذا ظل باب خلفي مثل هذا دون أن يلاحظه أحد لفترة أطول؟

متعلق ب:ثغرات Ivanti الأخيرة: 4 دروس يمكن لقادة الأمن تعلمها

سيسمح هذا الباب الخلفي للجهات الفاعلة في مجال التهديد بالوصول غير المصرح به إلى الأنظمة المتأثرة ويمنحهم إمكانات تنفيذ التعليمات البرمجية عن بُعد. “تم تنفيذ المكتبة الضارة داخل عملية خادم OpenSSH”، وفقًا لريد.

“يتوفر OpenSSH في كل مكان على نظام التشغيل Linux بجميع أنواعه، بدءًا من الحوسبة عالية الأداء (HPC) وحتى الخوادم السحابية وحتى أجهزة إنترنت الأشياء. لقد أجريت للتو بحثًا سريعًا في Shodan وتم اكتشاف أكثر من 19 مليون خادم OpenSSH عبر الإنترنت (قارن ذلك بـ 3 ملايين خادم RDP فقط)”.

إن ثغرة كهذه، والتي تؤثر على البرامج مفتوحة المصدر المستخدمة على نطاق واسع، لديها القدرة على إحداث تأثير مضاعف واسع النطاق.

“هناك أنظمة مبنية على البرمجيات مفتوحة المصدر وهذه الأنظمة… تدعم الأنظمة الأخرى والموردين وما إلى ذلك. يقول فرحات ديكبيك، كبير مسؤولي الأبحاث والاستخبارات في شركة الاستخبارات السيبرانية: “لذا، فإننا نرى تأثيرًا ممتدًا عندما يحدث خطأ ما في أنظمة البرمجيات مفتوحة المصدر هذه”. طائرة ورقية سوداء.

الاستجابة للخطر

ال توصي وكالة الأمن السيبراني وأمن البنية التحتية (CISA). من المحتمل أن يتأثر المستخدمون بخفض مستوى XZ Utils الخاص بمؤسساتهم والبحث عن أي دليل على وجود نشاط ضار داخل بيئاتهم. أصدرت شركة Binarly، إحدى شركات أمن البرامج الثابتة، ملف الماسح الضوئي المستتر XZ المجاني.

متعلق ب:أصبح أمان المؤسسة شخصيًا: أدخل جدار الحماية البشري

قد تكون فرق الأمن قادرة على تنفس الصعداء، لكن هذا لا يعني أن هذا النوع من الحوادث لا يمكن أن يحدث بشكل مختلف في المستقبل.

“استخدم هذا كتمرين سطحي،” قال نيت وارفيلد، مدير أبحاث التهديدات والاستخبارات في كسوف، شركة إدارة مخاطر سلسلة التوريد ذات الثقة المعدومة، تقترح. “استخدم هذه الرصاصة المراوغة لتحضير فريقك لما قد يبدو عليه في المرة القادمة.”

مستقبل المصادر المفتوحة

هل هذا الحل الوسط لسلسلة التوريد يعني أن أمن المؤسسات يجب أن يعيد النظر في استخدام البرامج مفتوحة المصدر؟

“أعتقد أنه سيكون من السخافة أن نقول: مرحبًا، نحن لن نستخدم المصادر المفتوحة، لأن التأثير سيكون هائلاً على أي منظمة. يقول فريماني: “لقد كان للمصادر المفتوحة دور فعال في دفع صناعة البرمجيات بأكملها إلى الأمام بوتيرة أسرع بكثير”.

ورغم أن هذه الحادثة مثيرة للقلق، إلا أنها لا تقتصر بالضرورة على البرمجيات مفتوحة المصدر. يقول وارفيلد: “هذا شيء لا يختلف عما لو كان لديك شخص خبيث من الداخل في شركة تكنولوجيا كبرى”.

يعد الاعتماد على برامج الطرف الثالث، سواء كانت مفتوحة المصدر أو غير ذلك، أمرًا ضروريًا لمزيد من المؤسسات. وهذا يعني أن الاعتراف بهذه المخاطر وإدارتها أمر ضروري أيضًا. يعد فهم ما يتم تشغيله في بيئة المؤسسة أمرًا ضروريًا، على الرغم من أن هذه المشكلة تصبح معقدة بشكل متزايد في البيئات الكبيرة.

ولكن هناك أدوات، مثل أدوات فحص الثغرات الأمنية، متاحة لمساعدة فرق أمان المؤسسة على فهم البرامج المستخدمة في بيئاتهم والمخاطر المحتملة التي تشكلها. ويؤكد ديكبيك أيضًا على أهمية أدوات استخبارات المخاطر.

يقول فريماني: “الأدوات متاحة وأصبحت أكثر تطوراً وقدرة في السوق”. “يجب على الصناعة أن تستجيب وتعتمد هذه الأدوات بشكل أسرع قليلاً مما تفعله”.

إذا كان الاعتماد على البرمجيات مفتوحة المصدر سيظل ضروريا للمؤسسات، فهل ينبغي للشركات أن تلعب دورا أكثر استباقية في الحد من المخاطر؟

“يتم صيانة الكثير من هذه المشاريع من قبل شخص أو شخصين. قد يكون لديهم وظيفة يومية فعلية بدوام كامل. يوضح وارفيلد: “عليهم أن يدفعوا الفواتير”. “الشركات الكبيرة سعيدة جدًا بأخذ واستخدام المصادر المفتوحة وبناء منتجات تعمل فوق المصادر المفتوحة، لكنها لا تقوم بعمل جيد في المساهمة فيها مرة أخرى.”