WebTech Rodos: Η κοινότητα του Linux απέφυγε οριακά μια καταστροφή στον τομέα της ασφάλειας, αφού ένας μηχανικός λογισμικού ανακάλυψε κατά λάθος μια κερκόπορτα που επρόκειτο να προστεθεί στα σημαντικότερα λειτουργικά συστήματα Linux.
Την περασμένη Παρασκευή, ο μηχανικός λογισμικού της Microsoft Andres Freund παρατήρησε την κερκόπορτα στο XZ Utils, ένα σύνολο εργαλείων συμπίεσης δεδομένων ανοικτού κώδικα που χρησιμοποιείται ευρέως σε όλα τα λειτουργικά συστήματα Linux και Unix-like.
Ο Freund δήλωσε ότι ανακάλυψε την κερκόπορτα τυχαία, ενώ έκανε συγκριτική αξιολόγηση μιας εγκατάστασης Debian που βασίζεται στο Linux. Κατά τη διάρκεια των δοκιμών, συνειδητοποίησε ότι το XZ Utils προκαλούσε υψηλή κατανάλωση CPU με διεργασίες SSH, το πρωτόκολλο ασφαλείας για την είσοδο σε έναν απομακρυσμένο διακομιστή. Αυτό τον οδήγησε να συνειδητοποιήσει ότι ένα συστατικό μέσα στο XZ Utils μπορεί να εισάγει μη εξουσιοδοτημένο κώδικα σε μια εγκατάσταση Linux για να κατασκοπεύει τον υπολογιστή του χρήστη και να εκτελεί πρόσθετο κακόβουλο κώδικα, σύμφωνα με τους ερευνητές ασφαλείας.
Σε απάντηση, οι πάροχοι λειτουργικών συστημάτων Linux Red Hat και Debian εξέδωσαν συμβουλές ασφαλείας προειδοποιώντας τους χρήστες για την απειλή. Αλλά σε κάποια καλά νέα, οι σταθερές εκδόσεις των Red Hat Linux και Debian δεν ενσωμάτωσαν ποτέ τα κακόβουλα συστατικά XZ Utils. Αντ’ αυτού, η κερκόπορτα έφτασε μόνο στην Red Hat Fedora 40 beta και Fedora Rawhide, μαζί με πειραματικές διανομές για το Debian. Όσοι χρήστες έχουν επηρεαστεί θα πρέπει να υποβαθμίσουν αμέσως την έκδοση του XZ Utils.
“Συγκεκριμένα, αυτός ο κώδικας υπάρχει στις εκδόσεις 5.6.0 και 5.6.1 των βιβλιοθηκών (XZ)”, αναφέρει η Red Hat.
Εν τω μεταξύ, οι αμερικανικές αρχές του κυβερνοχώρου προτρέπουν τους επηρεαζόμενους χρήστες να “υποβαθμίσουν το XZ Utils σε μια ασφαλέστερη έκδοση -όπως το XZ Utils 5.4.6 Stable” και να κυνηγήσουν οποιαδήποτε κακόβουλη δραστηριότητα.
Η είδηση κρούει για άλλη μια φορά τον κώδωνα του κινδύνου σχετικά με την ανάγκη προστασίας του λογισμικού ανοικτού κώδικα, το οποίο συχνά συντηρείται από εθελοντές contributors. Σε αυτή την περίπτωση, η κερκόπορτα αποδίδεται σε έναν μυστηριώδη χρήστη με το όνομα Jia Tan ή JiaT75, ο οποίος υπέβαλε τις κακόβουλες αλλαγές στο XZ Utils. Είναι ενδιαφέρον ότι ο Jia Tan φαίνεται να έχει περάσει υπομονετικά τα τελευταία τρία χρόνια χτίζοντας την αξιοπιστία του ώστε να γίνει ένας αξιόπιστος contributor στο XZ Utils πριν προσθέσει τον κακόβουλο κώδικα.
Ο ειδικός σε θέματα κρυπτογράφησης Filippo Valsorda προσθέτει: “Αυτή μπορεί να είναι η καλύτερα εκτελεσμένη επίθεση στην αλυσίδα εφοδιασμού που έχουμε δει να περιγράφεται ανοιχτά, και είναι ένα εφιαλτικό σενάριο: κακόβουλο, ικανό, εξουσιοδοτημένο upstream σε μια ευρέως χρησιμοποιούμενη βιβλιοθήκη”.
πηγή: pcmag.com