Kötü Amaçlı Xz Utils Güncellemesi Dünya Çapındaki Linux Sistemlerinde Neredeyse Felaketli Bir Siber Saldırıya Neden Oldu

xz Utils'e yapılan kötü amaçlı güncellemeler nedeniyle, dünya yakın zamanda ortaya çıkan bir arka kapı olayından etkilenmek üzereydi. Etki, 2020'de Rus bilgisayar korsanlarının birçok ABD hükümet kurumunun çekirdeğine sızmasına olanak tanıyan SolarWinds saldırısına benzer bir yıkıma neden olma potansiyeline sahipti.

Ars Technica'ya göre saldırı başarıya "korkunç derecede yakındı" ve yazılım ve kriptografi mühendisi Filippo Valsorda tarafından bugüne kadar gözlemlenen "en iyi gerçekleştirilen tedarik zinciri saldırısı" olarak tanımlandı.

İnternetin kitle kaynaklı kodlarının çoğu, kötü aktörlerin ve ulus devletlerin sızmasına karşı savunmasızdır. The Economist'in haberine göre, açık kaynaklı yazılım "internetin kalbinde yer alıyor", büyük ölçüde bir avuç gönüllü tarafından korunuyor ve bu da onu hem şirketler hem de hükümetler için büyük bir güvenlik riski haline getiriyor. Açık kaynaklı yazılım, düşük maliyeti nedeniyle genellikle dijital altyapıda kullanılır. Dijital dünyaya gömülü olan bu altyapı, çeşitli düşman ulus devletlerin saldırısı altında.

Son xz Utils Açık Kaynak Korkusu

29 Mart 2024'te Microsoft'ta yazılım mühendisi olan Andres Freund, "Linux işletim sisteminin parçası olan bir yazılım parçasında gizlenmiş bir arka kapı" buldu. Bu arka kapı, xz Utils'in kurcalanmış kaynak kodundan geldi ve etkilenen sürümleri kullanan sistemlere yetkisiz erişime izin verdi. Güvenliği ihlal edilen kaynak kodu, Linux sistemlerindeki xz Utils açık kaynaklı veri sıkıştırma yardımcı programına aitti. New York Times, mühendisin "potansiyel olarak tarihi bir siber saldırıyı" önlediğini yazdı.

xz Utils açık kaynak kodlu bir yazılım olduğundan, kodun herkese açık olduğunu ve daha sonra hangi değişikliklerin yapıldığını herkes görebilir.

Jia Tan adlı bir geliştirici, projeye yararlı kod katkıları sağlamaya ve yavaş yavaş güven kazanmaya başladı. Daha sonra kötü oyuncu zamanla kötü amaçlı yazılım kaçakçılığı yaptı. Saldırıların arkasında olduğundan şüphelenilen Rusya'nın dış istihbarat servisi SVR, SolarWinds saldırısının arkasındaki istihbarat servisiyle aynı.

Açık Kaynak Güvenlik Vakfı (OSSF), xz Utils saldırısının muhtemelen münferit bir olay olmadığı konusunda uyardı . Kötü aktörler, OpenJS Foundation for JavaScript projeleri gibi diğer projeleri devralmak için benzer sosyal mühendislik taktiklerini kullanırken yakalandı.

Açık Kaynak Yazılımın Güvenlik Açığı

Frontsight medyasına konuşan açık kaynak yazılım uzmanı Ryan Ware, mevcut risklerin büyüklüğünü şöyle açıkladı:

Ware'a göre "Dijital altyapımız çok savunmasız". “Bugüne kadar 177.914 CVE yayınlandı. Tartışmanın hatrına, açık kaynakta 1 milyar satır kod olduğunu varsayalım (bu çok daha fazla, ancak bu tartışmayı başka bir güne bırakacağız). Ayrıca, bu CVE'lerin yarısının açık kaynak için olduğunu da söyleyelim (güzel bir yuvarlak sayı için 90.000). Bu, açık kaynak kodunda her 11.111 kod satırında yalnızca bir güvenlik açığı bulduğumuz anlamına geliyor" dedi.

"Şirketler, her 11.000 kod satırında yalnızca bir güvenlik açığı bulunacak kadar temiz bir koda sahip olmak için can atarlardı." "Ayrıca, şu anda yazılan açık kaynaklı yazılım miktarında bir miktar düşüş olsa da, biz hâlâ Yazılan kod miktarı tüm zamanların en yüksek seviyesine ulaştı," diye açıkladı Ware. Bulunan her güvenlik açığına karşılık, kod geçerli hale gelmeden önce 5-10 ek güvenlik açığının daha bulunacağı bir senaryoyu anlattı.

xz Utils'ten ders

XZ Utils'in ramak kala durumunun büyüklüğü, Ware'in ayrıca açıkladığı gibi, kitle kaynaklı yazılımın kırılganlığını ve arıza korumalı kurulumlara olan acil ihtiyacı net bir şekilde hatırlatıyor:

“Ulus devletlerin yazılım güvenliğini alt üst etmeye çalıştıklarını kesinlikle biliyoruz. Tek yapmanız gereken mevcut APT'lerin listesine bakmak." Ware, "tarihsel olarak bu tehdit aktörlerinin hedeflerine ulaşmak için sıfır gün güvenlik açıklarını kullanmaya odaklandığını" belirterek şunları söyledi: Ancak şunu da belirtti: "Operasyonel olarak bu tehdit aktörleri sadece bir sıfır gün bulup hemen onu istismar etmiyorlar. Sıfır gün güvenlik açıklarını (kendi araştırmaları yoluyla keşfedilen veya satın alınan) biriktiriyorlar ve operasyonel hedeflerini karşılayan bir güvenlik açığına ihtiyaç duyduklarında bunları kullanıyorlar.”

Bu arada Ware, bir güvenlik açığının varlığı ile yazılım geliştiricilerin sistemlerine yama yapması arasında geçen uzun süreye dikkat çekti. Tehdit aktörleri, onarımlardaki bu gecikme devam ettiği için güvenlik açıklarını uzun süre istifleyebilir.

Yazılım Manipülasyonunda Belirsiz Bir Görüş Çizgisi

Zaman içinde pek fazla görünürlük kazanmayan şey, ulus devlet aktörlerinin yazılımı manipüle etmek için ne yaptıklarıdır. Ware, "xz ile yaşanan tüm olay, bu ulus-devletlerin ne tür kaynaklar sağlayabileceğini göstermek de dahil olmak üzere, bunların bazılarına bir pencere açtı" dedi. Ancak xz olayı, bu sosyal mühendislik karmaşıklığının denendiğinin tek kanıtı değil. Ryan, "Dürüst olmak gerekirse benim endişelerim, ulus devletlerin hem açık kaynaklı yazılım hem de ticari yazılım alanında şu anda bilmediğimiz şeylerle ilgili" diye vurguladı.

Ware'e göre SolarWinds olayının hafızalardan silinip silinmediği sorulduğunda, bu kime sorduğunuza bağlı:

“SolarRüzgarlar'dan alınan derslerin hükümet yetkilileri tarafından unutulduğunu düşünmüyorum. OpenSSF'deki (SLSA ve GUAC gibi) yazılım tedarik zinciri güvenliğine yönelik çalışmaların çoğu, CISA'nın bu alanda çözümler görmek istemesi nedeniyle yapılıyor" dedi.

Ware, "Kamuoyunun bilincinin kesinlikle dışında kaldığını düşünüyorum, ancak aynı zamanda kamu bilincine ne kadar nüfuz ettiğini de bilmiyorum" diye ekledi Ware, genellikle bir yazılım geliştiricisi olan ortalama hobi yazılım geliştiricisi için çıkarımlar içeren bir perspektifin altını çizdi. “kamu bilinci”.