14,7 тыс подписчиков
В популярном пакете XZ Utils версий 5.6.0 и 5.6.1, который используется для архивации и разархивации в формате ".xz" в *nix, выявлен бэкдор (CVE-2024-3094).
В результате этого различные дистрибутивы GNU/Linux были уязвимы в последние полтора месяца. Пользователям рекомендуется откатить версию xz на 5.4.1. Для тех, кому интересна детективная Санта-Барбара, читайте ниже, тут прям сюжет покруче некоторых триллеров.
Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4, используемого инструментарием automake при сборке. Бэкдор позволял получить по сути полный доступ к системе через SSH.
Предполагаемый автор бэкдора (JiaT75 - Jia Tan) активно участвовал в разработке этого и других проектов и переписывался с создателями дистрибутивов линукс в целях, как мы теперь знаем, понижения уровня их безопасности.
Также он участвовал в разработке пакетов xz-java и xz-embedded, и именно он внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.
В 2021 году Jia Tan передал изменение в проект libarchive и добился замены вызова safe_fprintf на небезопасный fprintf (сейчас изменение уже отменено).
Для того, чтобы получить статус мейнтейнера для пользователя Jia Tan, была проведена настоящая психологическая операция сроком в три года. По всей видимости было создано несколько виртуальных пользователей (Jigar Kumar и Hans Jansen - все с буквой J), которые давили на существующего мейнтейнера проекта, обвиняя его в медлительность и неэффективности, в итоге он признал усталость и выгорание.
В итоге Jia Tan (возможно, это был коллектив) получил статус мейнтейнера и стал 2-м по количеству изменений автором проекта, но "спалился" на том, что "отравленная" версия xz с бэкдором стала потреблять больше памяти без объективного обоснования, а также на сбоях, которую она вызывала при отладке. И если бы код бэкдора был написан более качественно и не вызывал ошибок при отладке, эту уязвимость могли бы еще долго не замечать. Злоумышленники сработали слишком грубо, на чем и "прогорели".
Примечательно, что одним из первых сбоем заинтересовался Andres Freund, сотрудник Microsoft, участвующий в разработке PostgreSQL, и именно он и выявил бэкдор и оповестил сообщество о его наличии.
Что это была за хакерская группировка, в чьих интересах она действовала, какие данные успела собрать за время существования бэкдора - почти полтора месяца - на сегодня все еще вопрос открытый.
Обнаруженный по активности в IRC сингапурский IP-адрес Цзя Тан принадлежит VPN-сервису Witopia. Само написание имя Jia Cheong Tan в разных своих частях совмещает в себе разные стандарты романизации китайских имён, поэтому это скорее всего наспех придуманный псевдоним.
Upd:
Изначально предполагалось, что бэкдор позволяет обойти аутентификацию в sshd и получить доступ к системе через SSH. Более детальный анализ показал, что это не так и бэкдор предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd.
2 минуты
31 марта 2024