Developer koji je spasio milijune Linuxaša: ne zna se tko se krije iza malicioznog koda
Kada je Andres Freund pažljivo pregledao izvorni kod alata xz Utilsa, primijetio je tragove namjernog manipuliranja. Nije odmah ni slutio da je otkrio ranjivost najviše kategorije
Andres Freund, 38-godišnji softverski inženjer, porijeklom Nijemac, koji živi u San Franciscu, primijetio je dok je testirao Debian kodnog imena Sid razvojnu, nestabilnu verziju Debian distribucije nastale na Linux kernelu, prekomjernu potrošnja CPU resursa prilikom prijavljivanja putem SSH-a te zaključio je da je nešto sumnjivo. Ono što je otkrio spasilo je milijune Linuxaša od kibernetičkih napada za koji stručnjaci kažu da su mogli prouzročiti ogromnu štetu.
Kako je otkriveno
Početkom godine dok je testirao distribuciju primijetio je da aplikacija pod nazivom SSH, koristi više procesorske snage nego što je uobičajeno. Kada je Andres pažljivo pregledao izvorni kod xz Utilsa, primijetio je tragove namjernog manipuliranja. Problem je pronašao u alatu za kompresiju podataka pod nazivom xz Utils i pitao se je li to povezano s nečim što je već ranije primijetio. Pronašao je da zlonamjerni kod ometa autentikaciju u sshd, binarnu datoteku koja omogućuje rad SSH-a, protokola koji se povezuje sa serverom i omogućuje korisniku komandnolinijski pristup sustavu. Ovaj backdoor, kad bi se distribuirao milijunima korisnika raznih verzija Linuxa, omogućio bi pokretanje skrivenog vlastitog koda na korisničkom računalu preko SSH veze. Više tehničkih detalja pročitajte ovdje.
Ključ za milijune korisnika
Svjestan da se radi o hakiranju, svoja je otkrića objavio skupini developera otvorenog koda, okupljenih na Openwall projektu. Oni su odmah shvatili o čemu se radi, te je unutar zajednice za nekoliko sati razvijena zakrpa. Vijest se munjevito proširila tehnološkom zajednicom.
Ranjivost je kategorizirana prema mjerilima Common Vulnerability Scoring System (CVSS) kao najviša i dobila desetku kao najveći mogući broj.
Da nije otkriven, backdoor bi svojim kreatorima dao glavni ključ za bilo koje od stotina milijuna računala širom svijeta koja koriste SSH. Taj im je ključ mogao omogućiti krađu osobnih podataka, postavljanje zlonamjernog softvera ili kreirati katastrofične posljedice u infrastrukturi - a sve to bez da budu uhvaćeni.
Tko je JiaT75?
Nitko ne zna tko je umetnuo maliciozni kod, no zavjera je bila toliko sofisticirana da neki istraživači vjeruju kako iza toga može stajati samo neka država s izuzetnim hakerskim sposobnostima.
Prema analizi nekih istraživača koji su ponovno pregledali dokaze, čini se da je napadač koristio pseudonim "Jia Tan" za predlaganje promjena u xz Utils još 2022. godine. JiaT75 je tijekom nekoliko godina polako izgradio povjerenje među ostalim programerima xz Utilsa te stekao veću kontrolu nad projektom. Naposljetku je postao održavatelj i nedavno ugradio svoj kod s namjerno ugrađenim sigurnosnom propustom. Prvi znakovi backdoora predstavljeni su u ažuriranju od 23. veljače. Iz tima Ubuntu je potvrđeno: "On je bio dio projekta xz dvije godine, dodajući sve vrste binarnih testnih datoteka, a s ovom razinom sofisticiranosti, bili bismo sumnjičavi prema čak i starijim verzijama xz-a dok se ne dokaže suprotno."
Kompromitirane verzije
Alat XZ Utils je kompromitiran od verzije 5.6.0 nadalje. Gotovo sve distribucije Linuxa koriste XZ Utils. Međutim, kompromitirana verzija uglavnom je distribuirana u testnim verzijama. Distribucije Linuxa zahvaćene ovim problemom su Fedora Linux 40, Fedora Rawhide, openSUSE Tumbleweed i openSUSE MicroOS, Debian testne, nestabilne i eksperimentalne verzije te Kali Linux.
