Как вредоносное обновление Xz Utils едва не привело к катастрофической кибератаке на Linux-системы по всему миру

Из-за вредоносных обновлений, внесенных в xz Utils, мир был близок к заражению недавно обнаруженным бэкдорным инцидентом. Это воздействие могло привести к таким же разрушениям, что и атака SolarWinds в 2020 году, которая позволила российским хакерам проникнуть в ядро многих правительственных учреждений США.

Атака была «ужасно близка» к успеху и была описана инженером по программному обеспечению и криптографии Филиппо Вальсорда как, возможно, «самая совершенная атака на цепочку поставок», которая наблюдалась на сегодняшний день, сообщает Ars Technica.

Большая часть краудсорсингового кода Интернета уязвима для проникновения злоумышленников и национальных государств. Программное обеспечение с открытым исходным кодом находится в «сердце Интернета», его в основном поддерживают горстка добровольцев, и это делает его серьезным риском безопасности как для корпораций, так и для правительств, сообщает The Economist . Программное обеспечение с открытым исходным кодом обычно развертывается в цифровой инфраструктуре из-за его низкой стоимости. Эта инфраструктура, встроенная в цифровой мир, подвергается атакам со стороны различных враждебных национальных государств.

Недавняя паника по поводу открытого исходного кода xz Utils

29 марта 2024 года Андрес Фройнд, инженер-программист Microsoft , обнаружил «бэкдор, скрытый в программном обеспечении, которое является частью операционной системы Linux». Этот бэкдор был взят из исходного кода xz Utils, который был подделан и позволял несанкционированный доступ к системам, использующим затронутые версии. Скомпрометированный исходный код принадлежал утилите сжатия данных с открытым исходным кодом xz Utils в системах Linux. The New York Times написала, что инженер предотвратил «потенциально историческую кибератаку».

Поскольку xz Utils является программным обеспечением с открытым исходным кодом, каждый может увидеть общедоступный код и узнать, какие изменения были в него внесены.

Разработчик по имени Цзя Тан начал вносить полезный код в проект и постепенно завоевывал доверие. Затем со временем злоумышленник тайно пронес вредоносное ПО. Российская внешняя разведка СВР, предположительно стоящая за атаками, является той же самой разведывательной службой, которая стояла за атакой SolarWinds.

Фонд безопасности открытого исходного кода (OSSF) предупредил , что атака xz Utils, скорее всего, не является изолированным инцидентом. Злоумышленники были пойманы на использовании аналогичной тактики социальной инженерии, чтобы попытаться захватить другие проекты, такие как OpenJS Foundation для проектов JavaScript.

Уязвимость программного обеспечения с открытым исходным кодом

В беседе с Frontsight Media Райан Уэр, эксперт по программному обеспечению с открытым исходным кодом, объяснил масштабы существующих рисков:

«Наша цифровая инфраструктура очень уязвима», — считает Уэр. «На сегодняшний день опубликовано 177 914 CVE. Допустим, в качестве аргумента, что в открытом исходном коде имеется 1 миллиард строк кода (это гораздо больше, но мы оставим этот аргумент на другой день). Давайте также в качестве аргумента скажем, что половина этих CVE относится к открытому исходному коду (90 000 для красивого круглого числа). Это означает, что в открытом исходном коде мы нашли только одну уязвимость на каждые 11 111 строк кода», — сказал он.

«Компании готовы на все, чтобы иметь настолько чистый код, чтобы на каждые 11 000 строк кода обнаруживалась только одна уязвимость», «Кроме того, хотя сейчас наблюдается небольшой спад в объеме написанного программного обеспечения с открытым исходным кодом, мы все еще на рекордно высоком уровне объема написанного кода», — объяснил Уэр. Он описал сценарий, в котором на каждую найденную уязвимость приходится найти еще 5-10 уязвимостей, прежде чем код станет работоспособным.

Урок от xz Utils

Масштаб ситуации с XZ Utils служит ярким напоминанием о хрупкости краудсорсингового программного обеспечения и острой необходимости в отказоустойчивых установках, как далее объясняет Уэр:

«Мы абсолютно точно знаем, что национальные государства стремятся подорвать безопасность программного обеспечения. Все, что вам нужно сделать, это просмотреть список существующих APT ». Уэр сказал, далее пояснив, что «исторически эти субъекты угроз были сосредоточены на использовании уязвимостей нулевого дня для достижения своих целей». Однако он также отметил, что «в оперативном плане эти злоумышленники не просто находят нулевой день и сразу же начинают его эксплуатировать. Они накапливают уязвимости нулевого дня (обнаруженные в результате собственных исследований или приобретенные), а затем используют их, когда им нужна уязвимость, которая удовлетворяет их оперативным целям».

Между тем, Уэр указал на длительный промежуток времени между существованием уязвимости и временем, которое требуется разработчикам программного обеспечения для исправления своих систем. Злоумышленники могут копить уязвимости в течение длительного времени, поскольку задержка в ремонте продолжается.

Неясное видение манипулирования программным обеспечением

Что в течение долгого времени оставалось незамеченным, так это то, что субъекты национальных государств делали для манипулирования программным обеспечением. «Весь инцидент с xz дал некоторое представление об этом, в том числе показал, какие ресурсы могут использовать эти национальные государства», — сказал Уэр. Однако инцидент с xz — не единственное свидетельство того, что такая изощренная социальная инженерия была опробована. «Честно говоря, меня беспокоит то, что было сделано национальными государствами как в области программного обеспечения с открытым исходным кодом, так и в области коммерческого программного обеспечения, о котором мы сейчас не знаем», - подчеркнул Райан.

Когда его спрашивают, исчез ли из недавних воспоминаний инцидент с SolarWinds, по мнению Уэра, это зависит от того, кого вы спрашиваете:

«Я не думаю, что уроки SolarWinds остались в стороне от правительственных чиновников. Большая часть работы по обеспечению безопасности цепочки поставок программного обеспечения в OpenSSF (например, SLSA и GUAC) ведется потому, что CISA хочет видеть решения в этой области», — сказал он.

«Я думаю, что это определенно выпало из общественного сознания, но в то же время я не знаю, насколько оно проникло в общественное сознание», — добавил Уэр, подчеркнув перспективу, имеющую последствия для среднего разработчика программного обеспечения-любителя, часто члена «общественное сознание».