四月 25, 2024 3 最小阅读量
经过
-
工程师,Atsign
InfoQ 文章竞赛
分享您的知识 赢得 QCon 活动门票
或 InfoQ 开发峰会了解更多
当微软工程师 安德烈斯·弗罗因德 注意到 SSH 花费的时间比平时更长,他 发现 A xz utils 中的后门, 底层库之一 系统, 这项工作花了数年时间才落实到位。 美国网络安全和基础设施安全局 (中西医结合协会) 已分配 CVE-2024-3094 到这个问题。 该后门已经进入了 Debian Sid、Fedora 41 和 Fedora Rawhide 等 Linux 发行版的测试版本,但在传播到更常用的稳定版本之前就被捕获了。 虽然有 证据 攻击者正在向发行版维护人员施压,要求其加快部署.
Evan Boehs 提供了详细的时间表和攻击分析 ‘我所知道的关于 XZ 后门的一切’, 故事可以追溯到 2021 年,当时为“Jia Tan”创建了 GitHub 帐户 JiaT75。 该帐户的初始活动位于 自由档案库 代码,但在 2022 年 4 月,“Jia Tan”转到 XZ 创建补丁,另一个角色“Jigar Kumar”开始向项目维护者 Lasse Collin 施加压力。 随着时间的推移,“Jia Tan”接管了 XZ 持续维护的大部分工作,并利用其职位,对代码隐藏在测试内部的构建过程进行复杂的攻击,插入后门。 早期为使代码和构建过程更安全而做出的努力也遭到破坏,“改进的安全性”通常被用作更改的错误原因。 安全专家 布鲁斯·施奈尔 链接到 托马斯·罗西亚的信息图 将其描述为“一件杰作”,并继续说道 说:
它会影响 SSH 远程登录协议,主要是通过添加需要特定密钥才能启用的隐藏功能。 拥有该密钥的人可以使用后门 SSH 在目标计算机上上传并执行任意代码。 SSH 以 root 身份运行,因此代码可以做任何事情。 让想象力自由驰骋.
这不是黑客随便搞出来的事情。 这个后门是多年工程努力的结果。 代码以源代码形式逃避检测的方式、它如何处于休眠状态且在激活之前无法检测到,以及其巨大的功能和灵活性,都证实了人们广泛持有的假设,即背后有一个主要民族国家.
莱塞·柯林 (Lasse Collin) 在一份报告中提供了他自己对事件的描述 XZ Utils后门 页。 有点让人回味 XKCD 2347 '依赖性’ 整个生态系统的稳定性和安全性由一个单独的维护者支撑。 这也是一个痛苦的例子来说明为什么 ‘总线系数’ 是衡量依赖关系健康状况的重要指标,这就是为什么它被包含在开源安全基金会 (OpenSSF) 最佳实践. 无论攻击者是谁,他们都会花时间找出软件供应链中最薄弱的环节,并利用与之相关的人性弱点.
由于后门仅影响到测试系统,因此大多数情况下将其视为“未遂事件”,业界可以从中吸取教训。 OpenJS 基金会与 OpenSSF 合作发布了警报 ‘社会工程接管开源项目’ 他们发现了类似的破坏 JavaScript 项目的尝试。 行业资深人士 蒂姆·布雷 展望未来,提出“开源质量研究所”" (奥斯质量指数) 作为为关键开源项目提供资金和治理的手段.
软件供应链安全已成为近年来的热门话题,这次攻击只是凸显了它为何如此重要。 如果后门代码没有因为速度太慢而暴露给勤奋的工程师,那么在数月甚至数年的时间里,它会让许多系统对攻击者开放。 尽管这并不是最近出现的唯一一次“预身份验证”失败问题,类似的问题也影响着帕洛阿尔托 (CVE-2024-3400) 和伊万蒂 (CVE-2024-21887).
524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
