В xz Utils дистрибутивів Linux знайшли бекдор. Закликають терміново відмовитись від Fedora

У популярному пакеті xz Utils для стиснення даних без втрат та роботи з форматом .xz виявили бекдор. Бекдор — це метод обходу стандартних процедур автентифікації, несанкціонований віддалений доступ до комп'ютера.

У п’ятницю користувачів закликали негайно припинити користуватися дистрибутивами Fedora 41 версії 5.6.0 і Fedora Rawhide версії 5.6.0 або 5.6.1.

Є підозри щодо інших дистрибутивів. Проте на цей момент підтвердження відсутні.

ArsTechnica розповіла деталі інциденту.

xz Utils

XZ Utils — це набір безплатних програм для стиснення даних. Є у кожному дистрибутиві Linux та у інших Unix-подібних операційних системах.

xz Utils надає критично важливі функції для стиснення та розпакування даних під час усіх видів операцій.

Що сталося?

Першим проблему помітив девелопер Андрес Фройнд, який працює над пропозиціями Microsoft PostgreSQL. Нещодавно він вирішував проблеми продуктивності системи Debian із SSH, найпоширенішим протоколом для віддаленого входу в пристрої через Інтернет.

Зокрема, вхід через SSH сильно завантажував процесор і генерував помилки з valgrind, утилітою для моніторингу пам’яті.

Він зрештою виявив, що проблеми є результатом оновлень xz Utils. Розробник офіційно звернувся до Open Source Security List і заявив, що оновлення є результатом того, що хтось навмисно встановив бекдор у XZ Utils.

Що робить бекдор?

Шкідливий код, доданий до xz Utils версії 5.6.0 і 5.6.1, змінив спосіб роботи програмного забезпечення під час виконання операцій.

Коли ці функції включали SSH, вони дозволяли виконувати шкідливий код із root-правами. Він дозволяє комусь, хто володіє заздалегідь визначеним ключем шифрування, увійти в бекдорну систему через SSH.

Таким чином особа мала б той самий рівень контролю, що й будь-який авторизований адміністратор.

Бекдор створювали роками

Експерти зазначили, що створення бекдору зайняло не один рік.

У 2021 році користувач JiaT575 вперше взяв участь в опенсорс-проєкті.

Оглядаючись назад, зміни в проєкті libarchive викликають підозру, оскільки вони замінили функцію safe_fprint на варіант, який давно вважався менш безпечним. Тоді цього ніхто не помітив.

Наступного року JiaT575 представив виправлення для списку розсилки xz Utils, і майже одразу до обговорення приєднався нікому раніше не помічений учасник, який стверджував, що розробник xz Utils Лассе Коллін давно не оновлював програмне забезпечення.

Такий тиск призвів до того, що до проєкту долучили JiaT575.

У січні 2023 року він вперше взяв участь у розробці. І в наступні місяці, як стверджується, він все більше і більше втягувався в процес.

• JiaT575 замінив контактну інформацію Коллінза своєю власною в oss-fuzz від Microsoft, проєкті, який сканує програмне забезпечення з відкритим кодом на ознаки зловмисності.
• Також він зробив, щоб вимкнули функцію ifunc під час тестування. Це дозволило системі безпеки проігнорувати внесені зміни.
• У лютому 2024 року JiaT575 видав коміти для версій 5.6.0 і 5.6.1 xz Utils. Оновлення реалізували бекдор.

У наступні тижні Тан та інші закликали розробників Ubuntu, Red Hat і Debian додати апдейти в оновлення системи. І навіть деякі повинні були вийти найближчим часом.

Бекдор реалізовано за допомогою п’ятиступінчастого завантажувача, який використовує низку простих, але розумних методів, щоб приховати себе. Він також забезпечує засоби для доставки нових корисних навантажень без необхідності серйозних змін.