Kötü amaçlı kod, çeşitli Linux dağıtımlarının temel parçası olan veri sıkıştırma kitaplığındaki işlevleri değiştiriyor.
Microsoft araştırmacısı Andres Freund tesadüfen sshd kimlik doğrulamasını bozabilecek kötü amaçlı kod buldu. Eğer keşfedilmeseydi Linux için büyük bir tehdit oluşturabilirdi. Açık kaynak topluluğu, keşfin tesadüfi doğasını ve daha geniş Linux topluluğu için önemli bir risk oluşturmadan önce ne kadar erken yakalandığını kabul ederek olaya tepki gösterdi.
Microsoft'ta bir PostgreSQL geliştiricisi olan Andres Freund, rutin mikro kıyaslama yaparken ssh işlemlerinde 600 ms'lik küçük bir gecikme fark etti . Mastodon'daki yazısına göre, bunların hemen başarısız olmaları gerektiği halde şaşırtıcı miktarda CPU kullandığını fark etti. Olaylar birbirini izledi ve Freund sonunda XZ paketinde gizlenmiş kötü amaçlı kod içeren bir tedarik zinciri saldırısına rastladı. Keşfini Açık Kaynak Güvenliği Posta Listesinde yayınladı ve açık kaynak topluluğu oradan aldı.
https://twitter.com/peer_rich/status/17 ... 3271116234
Geliştirici topluluğu, bu saldırının en az 2009'dan beri tek bir ücretsiz geliştirici tarafından sürdürülen küçük bir açık kaynak projesi olan XZ utils'e nasıl ustaca enjekte edildiğini hızla ortaya çıkarıyor. Saldırıya neden olan komutlarla ilişkili hesap, XZ'nin geliştiricisinin güvenini yavaş yavaş kazanarak uzun bir oyun oynamış gibi görünüyor; bu da kötü amaçlı kodun yazarının muhtemelen bir ulus devlet ajanlarına bağlı sofistike bir saldırgan olduğuna dair spekülasyonlara yol açtı.
Resmi olarak CVE-2024-3094 olarak adlandırılan bu açık, mümkün olan en yüksek CVSS puanı olan 10'a sahiptir. Red Hat, kötü amaçlı kodun XZ utils paketinin bir parçası olan ve birçok büyük Linux dağıtımının temel bir parçası olan bir veri sıkıştırma kütüphanesi olan liblzma içindeki işlevleri değiştirdiğini bildiriyor.
https://twitter.com/IanColdwater/status ... 9921204392
Bu değiştirilmiş kod daha sonra XZ kütüphanesine bağlı herhangi bir yazılım tarafından kullanılabilir ve kütüphane ile kullanılan verilerin ele geçirilmesine ve değiştirilmesine izin verebilir. Freund'a göre belirli koşullar altında, bu arka kapı kötü niyetli bir aktörün sshd kimlik doğrulamasını kırmasına ve saldırganın etkilenen bir sisteme erişim kazanmasına izin verebilir. Freund ayrıca XZ utils 5.6.0 ve 5.6.1 sürümlerinin de etkilendiğini bildirdi.
https://twitter.com/kdrag0n/status/1773950974480314574
Red Hat, Fedora 41 ve Fedora Rawhide'da güvenlik açığı bulunan paketler tespit etmiş olup, Red Hat Enterprise Linux (RHEL) etkilenmemiş olsa da, kullanıcılara bir güncelleme mevcut olana kadar kullanımı durdurmalarını tavsiye etmektedir.
- SUSE, openSUSE (Tumbleweed veya MicroOS) için güncellemeler yayınladı.
- Debian Linux kararlı sürümleri güvenlidir, ancak test, kararsız ve deneysel sürümler, tehlikeye atılan paketler nedeniyle xz-utils güncellemelerini gerektirir.
- Kali Linux kullanıcılarından 26 Mart ile 29 Mart arasında güncelleme yapanların düzeltme için tekrar güncelleme yapmaları gerekirken, 26 Mart'tan önce güncelleme yapanlar bu güvenlik açığından etkilenmiyor.
Bununla birlikte, birçok güvenlik araştırmacısının belirttiği gibi, durum hala gelişmektedir ve daha fazla güvenlik açığı keşfedilebilir. . ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, kullanıcılara 5.6.0'dan daha eski bir XZ utils sürümüne geçmelerini tavsiye etti. Güvenlik firmaları da geliştiricilere ve kullanıcılara etkilenip etkilenmediklerini görmek için olay müdahale testleri yapmalarını ve etkilenmişlerse bunu CISA'ya bildirmelerini tavsiye ediyor.
Neyse ki, etkilenen sürümler büyük Linux dağıtımlarının herhangi bir üretim sürümüne dahil edilmiş gibi görünmüyor, ancak güvenlik firması Analygence'ın kıdemli güvenlik açığı analisti Will Dormann, Ars Technica'ya bu keşfin yakın bir sonuç olduğunu söyledi . "Keşfedilmeseydi dünya için felaket olurdu" dedi.
Kaynak:
https://www.techspot.com/news/102456-li ... idely.html
Kapalı kaynak Windows yazılımlarına göre açık kaynak kodlu yazılımların daha güvenli olduğunu düşünüyordum bu zamana kadar.
