Последнее обновление 30.04.2024 — Иван Катанаев
Вы пользователь Linux? Если да, то вам следует обратить внимание на проблему безопасности, затрагивающую множество самых популярных дистрибутивов Linux, включая Arch, Debian, Fedora и другие.
Бэкдор XZ Utils — это серьезная проблема, потенциально затрагивающая миллионы систем Linux, и именно так вы можете обеспечить безопасность своего оборудования.
Что такое бэкдор XZ Utils?
XZ Utils — это набор утилит с открытым исходным кодом для сжатия и распаковки файлов, который широко используется в системах Linux, подобно ZIP. До появления бэкдора он пользовался хорошей репутацией в сообществе Linux благодаря своей эффективности.
Бэкдор в XZ привлек большое внимание из-за повсеместного распространения инструмента и того, как злоумышленнику удалось проникнуть в экосистему с открытым исходным кодом.
Атака через черный ход, похоже, представляет собой случай, когда злоумышленник ведет долгую игру, и на ее осуществление уходят годы. Злоумышленник, который использовал имя «Цзя Тан», но чья настоящая личность, по-видимому, неизвестна, обратился к первоначальному разработчику XZ, Лассе Коллину, чей график обновлений программного обеспечения отставал. По словам Роба Меншинга, Коллин, ссылаясь на проблемы с психическим здоровьем, в конечном итоге уступил право содержания нападавшему после очевидного давления со стороны возможного сообщника.
Затем предполагаемый злоумышленник вставил бэкдор для подключения к SSH, который широко используется в системах Linux для удаленного доступа. Это могло бы остаться незамеченным, если бы разработчик Microsoft Андрес Фройнд заметил, что SSH работает хуже, чем следовало бы. Проблема прослеживалась до версий 5.6.0 и 5.6.1.
Бэкдор позволяет злоумышленнику получить контроль над удаленной системой, а благодаря повсеместному распространению XZ и SSH это могло бы сделать возможной крупномасштабную атаку. После того, как бэкдор XZ был обнаружен, GitHub закрыл учетную запись основного разработчика, а домашняя страница проекта также исчезла.
Очевидный успех злоумышленника в зачистке своих следов и сложность принятия на себя роль разработчика с открытым исходным кодом привели к предположениям среди исследователей безопасности о том, что бэкдор мог быть создан национальным государством, таким как Россия или Китай, хотя, похоже, это не так. По данным Wired, пока нет веских доказательств.
На какие дистрибутивы Linux влияет бэкдор XZ Utils?
Бэкдор XZ в основном предназначался для дистрибутивов Red Hat и Debian/Ubuntu, поскольку они наиболее широко используются в корпоративных компаниях. Однако больше всего пострадали дистрибутивы, включающие более новое программное обеспечение, такие как Arch Linux, Gentoo, Fedora, а также тестируемый и нестабильный варианты Debian, поскольку они с большей вероятностью будут включать затронутые версии XZ.
Поскольку корпоративные развертывания Linux, как правило, отдают предпочтение стабильным дистрибутивам, на данный момент они, похоже, не затронуты. В Debian заявили, что стабильная версия, которую можно загрузить с их веб-сайта по умолчанию, не пострадала. Red Hat Enterprise Linux и Ubuntu также не пострадали.
Как защитить вашу машину с Linux от бэкдора XZ Utils
Лучший способ защитить себя в краткосрочной перспективе, независимо от того, какой дистрибутив вы используете, — это постоянно обновлять его с помощью утилиты обновления вашего менеджера пакетов. Когда был обнаружен бэкдор XZ, дистрибутивы Linux отреагировали быстро, выпустив системные обновления для понижения версии XZ Utils, установленной в системе, при необходимости. Передовые дистрибутивы, такие как Arch, также призывают своих пользователей как можно скорее обновиться.
Атака поднимает тревожные вопросы об управлении проектами с открытым исходным кодом. Как и многие другие проекты с открытым исходным кодом, XZ Utils — это широко используемое программное обеспечение, поддерживаемое одним бесплатным разработчиком. Похожая проблема привела к ошибке Heartbleed, которая затронула OpenSSH в 2014 году.
Подобные проекты являются компонентами почти всех дистрибутивов Linux, и такие проекты с открытым исходным кодом также распространены в коммерческом программном обеспечении. Если вы проверите разделы «О программе» многих распространенных программ, таких как Spotify или Google Chrome, вы обнаружите, что они также используют множество компонентов с открытым исходным кодом. XZ Utils включен в Chrome.
Разработчики используют эти инструменты, поскольку они значительно облегчают их работу, поскольку им не нужно писать каждую часть программы с нуля.
В будущем пользователям и компаниям придется пересмотреть свои отношения с программным обеспечением с открытым исходным кодом, на которое они полагаются. Это может варьироваться от более тщательной проверки разработчиков открытого исходного кода, а также поиска способов компенсировать разработчикам, как предлагает Роб Меншинг, чтобы они не так сильно страдали от выгорания.
Кажется почти несомненным, что после этой атаки разработка ПО с открытым исходным кодом будет более тщательно проверяться.
