Агентство кибербезопасности и безопасности инфраструктуры опубликовало в пятницу предупреждение о ранее незамеченном бэкдоре в широко используемом инструменте Linux, который сжимает и шифрует файлы, которыми обмениваются стороны.
Если бы бэкдор позволил распространиться, он мог бы сделать экосистему Linux с открытым исходным кодом готовой для использования хакерами. Целевой механизм — это инструмент Secure Shell (или SSH), который сжимает и шифрует данные, передаваемые по соединению. Уязвимость может позволить хакерам получить доступ ко всем системам, позволяя им обходить механизмы аутентификации, используемые в процессе шифрования SSH.
Злоумышленник внедрил уязвимость в XZ Utils, возможность сжатия и передачи файлов Linux. Зловещий код был внедрен в две недавно выпущенные версии инструмента, но, согласно анализу Red Hat, компании по кибербезопасности, которая предоставляет коммерческий дистрибутив Linux, доступны только некоторые бета-версии предложений Linux.
Вредоносный код был представлен в обновлении от 23 февраля, содержащем сценарий самоустановки, который позволил бы уязвимости внедриться в рабочие версии Ubuntu — дистрибутива Linux, используемого в ИТ-стеках таких крупных компаний, как Instacart, Slack и Robinhood. .
«CISA рекомендует разработчикам и пользователям понизить версию XZ Utils до бескомпромиссной версии — такой как XZ Utils 5.4.6 Stable — отслеживать любую вредоносную активность и сообщать о любых положительных результатах в CISA», — говорится в предупреждении агентства.
Уязвимость обнаружил инженер Microsoft Андрес Фройнд, который в пятницу задокументировал технические выводы. Другие сообщества дистрибуторов Linux быстро оповещение пользователей уязвимости, помогая предотвратить то, что могло бы быть гораздо более распространенной проблемой.
Примечательно, что вредоносный код был внедрен пользователем, который уже давно участвует в сборках XZ. Поскольку этот инструмент имеет открытый исходный код, его возможности зависят от вклада членов сообщества, которые поддерживают его в актуальном состоянии посредством исправлений и регулярных обновлений.
Пользователь, известный как «Цзя Тан», сообщил об ошибке 28 марта, требуя обновить версию программного обеспечения вредоносным кодом, оправдывая это исправлением проблем в Debian, другом дистрибутиве Linux, сообщество которого позиционирует себя как полностью бесплатный для использования. Операционная система.
Репозиторий, в котором хранится эксплойт, с тех пор закрыт, поскольку GitHub работает над оценкой потенциальных последствий того, как и где вредоносная сборка могла быть случайно включена в предложения Linux.
Один из сопровождающих Ubuntu сказал, что пользователь «участвовал в проекте xz в течение двух лет, добавляя всевозможные бинарные тестовые файлы, и с таким уровнем сложности мы будем с подозрением относиться даже к более старым версиям xz, пока не будет доказано обратное», Ars Technica Об этом сообщили в пятницу.
«Учитывая активность в течение нескольких недель, можно сделать вывод, что коммиттер либо непосредственно замешан в этом, либо имел место довольно серьезный компрометация их системы», — написал Фройнд в своем анализе. «К сожалению, последнее выглядит менее вероятным объяснением, учитывая, что они сообщали в различных списках об упомянутых выше «исправлениях».
Это событие, вероятно, оживит дебаты в Вашингтоне по поводу безопасности инструментов с открытым исходным кодом. Эти дискуссии уже стали горячей точкой в переговорах по политике в области ИИ, поскольку законодатели и технологическая индустрия спорят о том, как сделать системы ИИ доступными для широкой публики.
Есть подозрения, что актер мог быть связан с кибер-коллективом национального государства, сообщил Politico в понедельник, добавив, что ФБР и АНБ, вероятно, будут расследовать инцидент.
2024-04-01 16:08:15
1711988505
#CISA #бьет #тревогу #по #поводу #глубоко #укоренившейся #уязвимости #инструменте #Linux
