CS
All
Articles
Dictionary
Quotes
Map

Wikiwand ❤️ Wikipedia

PrivacyTerms
Zadní vrátka v XZ Utils

Zadní vrátka v XZ Utils

From Wikipedia, the free encyclopedia

Zadní vrátka v XZ Utils
PozadíMechanismus fungováníOdkazyLiteraturaExterní odkazy

Zranitelnost v nástroji xz pro operační systém Linux otevírající zadní vrátka (backdoor) odhalil 29. března 2024 počítačový vývojář Andres Freund. Analýza ukázala, že zranitelnost umožňující útočníkovi vzdálené spuštění kódu byla do tohoto otevřeného softwaru zanesena úmyslně přispěvatelem vystupujícím pod jménem Jia Tan v rámci tříletého snažení s využitím sociálního inženýrství, loutkaření a důmyslných krycích technik. V době odhalení nebyly ještě postižené verze 5.6.0 a 5.6.1, vydané v únoru 2024, široce rozšířeny v produkčních systémech, ale byly přítomny v testovacích verzích hlavních distribucí. Zranitelnost, která měla potenciál infikovat miliony počítačů na celém světě, obdržela označení CVE-2024-3094 a nejvyšší možné hodnocení nebezpečnosti 10,0. Odborníci se domnívají, že jde o dílo státem sponzorované hackerské skupiny, nejspíše ruské.

Thumb
Starší logo nástroje XZ Utils, jehož autorem je sám záškodník Jia Tan

Nástroj XZ Utils slouží ke kompresi a dekompresi dat s využitím formátů xz a lzma. Vývoji tohoto nástroje, přítomného v mnoha linuxových distribucích (včetně Fedory, Slackware, Ubuntu a Debianu), se od roku 2009 věnovala na dobrovolnickém základě malá skupina vývojářů v rámci projektu Tukaani, správcem repozitáře na GitHubu byl Lasse Collin. Do jeho přízně se od roku 2021 postupně vetřel přispěvatel pod přezdívkou JiaT75 a jménem Jia Tan (jde nejspíše o smyšlené jméno) a prostřednictvím dalších pravděpodobně loutkových účtů začal vykonávat tlak na rychlejší přijímání jím navrhovaných úprav kódu a získal pro sebe v projektu větší práva.

Škodlivý binární kód ukryl autor do dvou komprimovaných souborů určených k automatickému testování nástroje, z nichž byl automatickou konfigurační rutinou při výrobě balíčku v GitHubu vytažen a zahrnut do knihovny liblzma. Tuto knihovnu na některých systémech využívá (prostřednictvím démona systemd) software OpenSSH, který slouží k zabezpečenému vzdálenému připojování se uživatelů k serveru. Díky této závislosti mohl škodlivý kód ovlivnit proces přihlašování a umožnit útočníkovi vybavenému konkrétním soukromým klíčem získat stejná přístupová práva k systému jako jeho oprávněný správce.

Literatura

  • KASÍK, Pavel. Německý programátor možná překazil největší kyberútok v historii. Seznam Zprávy [online]. 2024-04-11 [cit. 2024-04-12]. Dostupné online.
  • KRČMÁŘ, Petr. Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou. Root.cz [online]. Internet Info, s.r.o., 2024-03-30 [cit. 2024-04-12]. Dostupné online.
  • GREENBERG, Andy. The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind. Wired. Dostupné online [cit. 2024-04-11]. ISSN 1059-1028. (anglicky)
  • MAZUROV, Nikita. The Other Players Who Helped (Almost) Make the World’s Biggest Backdoor Hack. The Intercept [online]. 2024-04-03 [cit. 2024-04-11]. Dostupné online. (anglicky)

Externí odkazy

  • Oficiální informační webová stránka
  • Původní zpráva o odhalení zadních vrátek od Andrese Freunda
Edit in WikipediaRevision historyRead in Wikipedia

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Chrome
Wikiwand for Chrome
Edge
Wikiwand for Edge
Firefox
Wikiwand for Firefox

Pozadí

Mechanismus fungování

Odkazy