Làm thế nào một bản cập nhật ứng dụng Xz độc hại gần như gây ra một cuộc tấn công mạng thảm khốc trên các hệ thống Linux trên toàn thế giới

Do các bản cập nhật độc hại được thực hiện cho xz Utils, thế giới gần như bị lây nhiễm bởi một sự cố cửa hậu mới được phát hiện gần đây. Tác động này có khả năng gây ra sự tàn phá tương tự như vụ tấn công SolarWinds năm 2020 cho phép tin tặc Nga xâm nhập vào lõi của nhiều cơ quan chính phủ Hoa Kỳ.

Theo báo cáo của Ars Technica, cuộc tấn công “rất gần” thành công và được kỹ sư phần mềm và mật mã Filippo Valsorda mô tả có lẽ là “cuộc tấn công chuỗi cung ứng được thực hiện tốt nhất” từng được quan sát cho đến nay.

Phần lớn mã nguồn cộng đồng của Internet rất dễ bị các tác nhân xấu và các quốc gia xâm nhập. The Economist đưa tin, phần mềm nguồn mở là “trái tim của Internet”, phần lớn nó được duy trì bởi một số ít tình nguyện viên và điều đó khiến nó trở thành rủi ro bảo mật lớn đối với các tập đoàn cũng như chính phủ. Phần mềm nguồn mở thường được triển khai trên cơ sở hạ tầng kỹ thuật số vì chi phí thấp. Cơ sở hạ tầng đó, được nhúng trong thế giới kỹ thuật số, đang bị tấn công bởi nhiều quốc gia đối địch.

Xz gần đây sử dụng sự sợ hãi mã nguồn mở

Vào ngày 29 tháng 3 năm 2024, Andres Freund, một kỹ sư phần mềm tại Microsoft , đã tìm thấy một “cửa hậu ẩn trong một phần mềm thuộc hệ điều hành Linux”. Cửa hậu này đến từ mã nguồn của xz Utils, đã bị giả mạo và cho phép truy cập trái phép vào các hệ thống sử dụng các phiên bản bị ảnh hưởng. Mã nguồn bị xâm phạm là của tiện ích nén dữ liệu nguồn mở xz Utils trong hệ thống Linux. Tờ New York Times viết rằng kỹ sư này đã ngăn chặn một “cuộc tấn công mạng có khả năng mang tính lịch sử”.

Vì xz Utils là phần mềm nguồn mở nên bất kỳ ai cũng có thể xem mã vì nó được công khai và những thay đổi đã được thực hiện sau đó.

Một nhà phát triển tên Jia Tan bắt đầu đóng góp mã hữu ích cho dự án và dần dần nhận được sự tin tưởng. Sau đó theo thời gian, kẻ xấu đã đưa phần mềm độc hại vào. Cơ quan tình báo nước ngoài của Nga, SVR, bị nghi ngờ đứng sau vụ tấn công, cũng chính là cơ quan tình báo đứng sau vụ tấn công SolarWinds.

Tổ chức Bảo mật Nguồn Mở (OSSF) đã cảnh báo về cuộc tấn công xz Utils có thể không phải là một sự cố riêng lẻ. Những kẻ xấu đã bị phát hiện khi sử dụng các chiến thuật kỹ thuật xã hội tương tự để thử và tiếp quản các dự án khác như OpenJS Foundation cho các dự án JavaScript.

Lỗ hổng của phần mềm nguồn mở

Phát biểu với Frontsight media, Ryan Ware, một chuyên gia phần mềm nguồn mở, đã giải thích mức độ nghiêm trọng của các rủi ro đang diễn ra:

Theo Ware, “Cơ sở hạ tầng kỹ thuật số của chúng tôi rất dễ bị tổn thương”. “Cho đến nay, có 177.914 CVE đã được xuất bản. Giả sử để tranh luận rằng có 1 tỷ dòng mã trong nguồn mở (con số này còn nhiều hơn nữa, nhưng chúng ta sẽ để lại lập luận đó vào một ngày khác). Cũng có thể nói để tranh luận rằng một nửa số CVE đó là dành cho nguồn mở (90.000 cho một con số tròn đẹp). Điều đó có nghĩa là đối với mã nguồn mở, chúng tôi chỉ tìm thấy một lỗ hổng trong mỗi 11.111 dòng mã,” ông nói.

“Các công ty sẽ rất nỗ lực để có mã sạch đến mức cứ 11.000 dòng mã chỉ tìm thấy một lỗ hổng,” “Ngoài ra, mặc dù số lượng phần mềm nguồn mở được viết hiện nay có chút sụt giảm, nhưng chúng tôi vẫn đang ở mức cao nhất mọi thời đại về số lượng mã được viết,” Ware giải thích. Ông mô tả một kịch bản trong đó, với mỗi lỗ hổng được tìm thấy, sẽ có thêm 5-10 lỗ hổng nữa được tìm thấy trước khi mã được phát ra.

Bài học từ xz Utils

Tầm quan trọng của việc Xperia Utils suýt bị trượt đóng vai trò như một lời nhắc nhở rõ ràng về tính mong manh của phần mềm nguồn lực cộng đồng và nhu cầu cấp thiết về việc cài đặt an toàn dự phòng, như Ware giải thích thêm:

“Chúng tôi hoàn toàn biết rằng các quốc gia đang tìm cách phá hoại tính bảo mật của phần mềm. Tất cả những gì bạn cần làm là nhìn vào danh sách các APT hiện có.” Ware cho biết, giải thích thêm rằng “trong lịch sử, những kẻ đe dọa này đã tập trung vào việc sử dụng các lỗ hổng zero-day để đạt được mục tiêu của chúng”. Tuy nhiên, ông cũng lưu ý rằng “về mặt hoạt động, những kẻ đe dọa này không chỉ tìm ra lỗ hổng zero-day và ngay lập tức khai thác nó. Họ tích trữ các lỗ hổng zero-day (được phát hiện thông qua nghiên cứu của chính họ hoặc được mua) và sau đó sử dụng chúng khi họ cần một lỗ hổng đáp ứng mục tiêu hoạt động của họ.”

Trong khi đó, Ware đã chỉ ra khoảng thời gian dài giữa sự tồn tại của lỗ hổng và thời gian để các nhà phát triển phần mềm vá hệ thống của họ. Các tác nhân đe dọa có thể tích trữ các lỗ hổng trong một thời gian dài vì sự chậm trễ trong việc sửa chữa này vẫn tiếp tục.

Tầm nhìn không rõ ràng về thao tác phần mềm

Điều mà theo thời gian không được thấy nhiều là những gì các tác nhân quốc gia đã và đang làm để thao túng phần mềm. Ware cho biết: “Toàn bộ sự việc xảy ra với xz đã hé mở một phần về vấn đề này, bao gồm cả việc cho thấy những loại tài nguyên mà các quốc gia-dân tộc này có thể mang lại”. Tuy nhiên, sự cố xz không phải là bằng chứng duy nhất cho thấy thứ gì đó phức tạp về kỹ thuật xã hội này đã được thử nghiệm. Ryan nhấn mạnh: “Thành thật mà nói, mối lo lắng của tôi là những gì đã được các quốc gia-nhà nước thực hiện trong cả lĩnh vực phần mềm nguồn mở cũng như phần mềm thương mại mà hiện tại chúng tôi chưa biết đến”.

Khi được hỏi liệu sự cố SolarWinds có mờ dần trong bộ nhớ gần đây hay không, theo quan điểm của Ware, điều đó phụ thuộc vào người bạn hỏi:

“Tôi không nghĩ những bài học về SolarWinds đã phai mờ đối với các quan chức chính phủ. Phần lớn công việc xung quanh vấn đề bảo mật chuỗi cung ứng phần mềm trong OpenSSF (như SLSA và GUAC) đang được thực hiện vì CISA muốn thấy các giải pháp trong lĩnh vực này,” ông nói.

“Tôi nghĩ nó chắc chắn đã bị loại bỏ khỏi ý thức cộng đồng, nhưng đồng thời tôi không biết nó đã thấm vào ý thức cộng đồng đến mức nào,” Ware nói thêm, nhấn mạnh một quan điểm có ý nghĩa đối với nhà phát triển phần mềm có sở thích trung bình, thường là thành viên của “ý thức cộng đồng”.