Linux dağıtımları için yaygın olarak kullanılan bir sıkıştırma kitaplığında, yetkisiz kullanıcıların virüslü sistemlere erişmesine olanak verebilecek bir arka kapı keşfedildi. Microsoft’ta PostgreSQL geliştiricisi olan Andres Freund, 29 martta birçok Linux dağıtımında kullanılan popüler bir sıkıştırma kütüphanesi olan XZ için açık kaynaklı liblzma paketinde gizli bir arka kapı keşfettiğini açıkladı.
Açık Kaynak Güvenlik Posta Listesindeki bir açıklamada Freund, son haftalarda Debian’da çalışan liblzma’da SSH yoluyla yavaş oturum açma ve SSHD işlemleri için şaşırtıcı derecede yüksek CPU kullanımı gibi tuhaf davranışlar gözlemlediğini yazdı. Daha ayrıntılı bir incelemenin ardından, bir tedarik zinciri saldırısında yukarı akış XZ deposunun tehlikeye atıldığı sonucuna vardı.
Fruend, kötü amaçlı kodun izini sürdü ve arka kapının, daha sonra Jia Tan olarak tanımlanan bir XZ bakımcısı tarafından meşru görünen güncellemeler yoluyla açık kaynak projesine tahsis edildiğini keşfetti :
“Birkaç hafta boyunca süren faaliyet göz önüne alındığında, taahhüt eden kişi ya doğrudan işin içindedir ya da sistemlerinde oldukça ciddi bir uzlaşma söz konusudur. Ne yazık ki, yukarıda belirtilen ‘düzeltmeler’ hakkında çeşitli listelerde iletişim kurdukları göz önüne alındığında, ikincisi daha az olası bir açıklama gibi görünüyor.”
Freund ayrıca, XZ Utils’in 5.6.0 ve 5.6.1 sürümlerinde bulunan arka kapının yalnızca yukarı yönde yayımlanan “tarball’lar” olarak bilinen arşivlenmiş indirme paketlerinde bulunduğunu da buldu. Kötü amaçlı kod Git dağıtımlarında mevcut değildi.
Red Hat, Cuma günü yayınlanan bir güvenlik tavsiyesinde CVSS puanı 10 olan CVE-2024-3094 olarak takip edilen arka kapının iki aşamalı olduğunu belirtti. Danışmanlık belgesinde şöyle yazdı :
“Git dağıtımında kötü amaçlı kodun oluşturulmasını tetikleyen M4 makrosu bulunmuyor. İkinci aşama yapıtlar, kötü amaçlı M4 makrosunun mevcut olması durumunda derleme süresi boyunca enjeksiyon için Git deposunda mevcuttur. Yapıyla birleştirme olmadan 2. aşama dosyası zararsızdır.”
Kötü amaçlı XZ sürümleri içeren dağıtımları kaç kuruluşun indirdiği veya bu kuruluşlardan herhangi birinin arka kapıdan ihlal edilip edilmediği belli değil.
CISA Cuma günü, Red Hat’in tavsiyelerini vurgulayan ve Linux geliştiricileri ile kullanıcılarını XZ Utils’in 5.4.6 kararlı sürümü gibi etkilenmeyen sürümlerine düşürmeye ve ortamlarındaki herhangi bir kötü amaçlı etkinliği aramaya çağıran bir uyarı yayınladı.
Red Hat Enterprise, SUSE Linux Enterprise ve Leap, Amazon Linux ve Ubuntu gibi diğer popüler Linux dağıtımları arka kapıdan etkilenmedi. Freund şöyle dedi :
“Neyse ki xz 5.6.0 ve 5.6.1 henüz Linux dağıtımları tarafından geniş çapta entegre edilmedi ve çoğunlukla yayın öncesi sürümlerde mevcut.”
Kaynak : 