Como um voluntário impediu que um backdoor expusesse sistemas Linux em todo o mundo

O Linux, o sistema operacional de código aberto mais usado no mundo, escapou por pouco de um ataque cibernético massivo no fim de semana de Páscoa, tudo graças a um voluntário.

O backdoor está incluído em uma versão recente do formato de compactação Linux chamado XZ Utils, uma ferramenta pouco conhecida fora do mundo Linux, mas usada em quase todas as distribuições Linux para compactar arquivos grandes, facilitando sua transferência. Se o vírus tivesse se espalhado de forma mais ampla, inúmeros sistemas poderiam ter permanecido vulneráveis ​​durante anos.

E como Ars Técnica notado em Resumo abrangenteO perpetrador estava trabalhando no projeto em público.

A vulnerabilidade, que foi introduzida no login remoto do Linux, expôs-se apenas a uma única chave, para que pudesse ocultar-se de verificações de computadores públicos. como Ben Thompson escreve em Strachry. “A maioria dos computadores do mundo estará vulnerável e ninguém saberá.”

A história da descoberta do backdoor XZ começa na manhã de 29 de março como o desenvolvedor da Microsoft baseado em São Francisco Anders Freund postou no Mastodon e eu enviei um email Para a lista de discussão de segurança do OpenWall com o título: “backdoor upstream xz/liblzma leva ao comprometimento do servidor ssh.”

Freund, que é voluntário como “supervisor” no PostgreSQL, um banco de dados baseado em Linux, percebeu algumas coisas estranhas nas últimas semanas enquanto executava testes. Logins criptografados na liblzma, parte da biblioteca de compactação XZ, consumiam uma quantidade significativa de CPU. Nenhuma das ferramentas de performance que ele usou revelou nada”, escreveu Freund no Mastodon. Isso imediatamente despertou suas suspeitas, e ele se lembrou de uma “queixa estranha” de um usuário do Postgres algumas semanas antes sobre o Valgrind, um programa Linux que verifica erros de memória.

Após alguma investigação, Freund finalmente descobriu o que estava errado. “XZ Warehouse e XZ Tar Balls fecharam”, observou Freund em seu e-mail. O código malicioso estava presente nas versões 5.6.0 e 5.6.1 das ferramentas e bibliotecas xz.

Pouco depois, a empresa de software de código aberto Red Hat enviou uma mensagem Alerta de segurança de emergência Para usuários do Fedora Rawhide e Fedora Linux 40. No final das contas, a empresa concluiu que o Fedora Linux 40 beta contém duas versões afetadas das bibliotecas xz. É possível que as versões do Fedora Rawhide também tenham recebido as versões 5.6.0 ou 5.6.1.

Pare imediatamente de usar qualquer produto FEDORA RAWHIDE para atividades comerciais ou pessoais. O Fedora Rawhide será revertido para xz-5.4.x em breve e, uma vez feito isso, as instâncias do Fedora Rawhide poderão ser reimplantadas com segurança.

Embora a versão beta do Debian, uma distribuição Linux gratuita, contenha pacotes comprometidos por sua equipe de segurança Eu agi rapidamente Para voltar a eles. “No momento, nenhuma versão estável do Debian foi afetada”, escreveu Salvatore Bonaccorso do Debian em um alerta de segurança aos usuários na noite de sexta-feira.

Mais tarde, Freund identificou a pessoa que enviou o código malicioso como um dos dois principais desenvolvedores do xz Utils, conhecido como JiaT75 ou Jia Tan. “Dado que a atividade vem acontecendo há várias semanas, o perpetrador estava diretamente envolvido ou houve um grave comprometimento do seu sistema. Infelizmente, esta última parece ser a explicação menos provável, dado que eles falaram em diferentes listas de 'correções'. ' mencionado acima”, escreveu Freund em seu livro. análiseapós vincular diversas soluções feitas pelo JiaT75.

JiaT75 era um nome familiar: eles trabalharam ao lado do desenvolvedor original do formato de arquivo .xz, Lasse Collin, por um tempo. Como o programador Ross Cox apontou em seu livro calendárioJiaT75 começou a enviar patches aparentemente legítimos para a lista de discussão XZ em outubro de 2021.

Outros braços do esquema foram revelados alguns meses depois quando duas outras identidades Jigar Kumar e Dennis Ince Reclamações começaram a ser enviadas por e-mail Ao Colin sobre os erros e a lentidão no desenvolvimento do projeto. No entanto, como observado em relatórios Evan Buhs Outros, “Kumar” e “Ins” nunca foram vistos fora da comunidade XZ, levando os investigadores a acreditar que ambos são falsos e existem apenas para ajudar Jia Tan a acessar sua localização para entregar o código da porta dos fundos.

“Sinto muito pelos seus problemas de saúde mental, mas é importante estar ciente dos seus limites. “Sei que este é um projeto de hobby para todos os colaboradores, mas a comunidade quer mais”, escreveu Ince em uma mensagem, enquanto Kumar disse em outro: “O progresso não acontecerá.” Até que haja um novo supervisor.”

Em meio a idas e vindas, Collins escreveu: “Não perdi o interesse, mas minha capacidade de cuidar tem sido um tanto limitada devido a problemas de saúde mental de longo prazo, mas também a algumas outras coisas”, e sugeriu que Jia Tan assumisse um papel maior. “Também é bom ter em mente que este é um projeto de hobby não remunerado”, concluiu. Os e-mails de Kumar e Ens continuaram até que Tan foi adicionado como moderador no final daquele ano, para poder fazer modificações e tentar introduzir o pacote backdoor nas distribuições Linux com mais autoridade.

O incidente do backdoor xz e suas consequências são um exemplo da beleza do código aberto e da incrível vulnerabilidade da infraestrutura da Internet.

Um desenvolvedor do FFmpeg, um popular pacote de mídia de código aberto, destacou o problema Em um tweet“O fiasco xz mostrou como depender de voluntários não remunerados pode causar grandes problemas. Empresas de trilhões de dólares esperam apoio gratuito e urgente dos voluntários. Elas trouxeram recibos indicando como lidaram com um bug de 'alta prioridade' que afetava o Microsoft Teams.

Apesar da confiança da Microsoft em seu software, o desenvolvedor escreveu: “Depois de solicitar educadamente um contrato de suporte da Microsoft para manutenção de longo prazo, eles ofereceram um pagamento único de alguns milhares de dólares… Os investimentos em manutenção e sustentabilidade não são atraentes e um gerente intermediário provavelmente não conseguirá.” Por sua promoção, ele até pagará mil vezes ao longo de muitos anos.

Detalhes sobre quem está por trás do JiaT75, como seu plano será executado e a extensão dos danos foram revelados por um exército de desenvolvedores e profissionais de segurança cibernética, tanto nas redes sociais quanto em fóruns online. Mas isto acontece sem o apoio financeiro direto de muitas empresas e organizações que beneficiam da capacidade de utilizar software seguro.