Бэкдор в XZ
Материал из Википедии — свободной encyclopedia
Бэкдор в пакете XZ Utils для Linux был выпущен 24 февраля 2024 года[7] и обнаружен 28 марта. Внедряется в SSHD (Secure Shell Daemon) — часть OpenSSH, службу для Unix-подобных ОС, позволяющую удалённым пользователям выполнять команды консоли. «Отравленный» SSHD выполняет команды консоли от неизвестного центра, владеющего скрытым ключом. Бэкдор пассивен — центр сам должен был пройти брандмауэр и подключиться к компьютеру. Угроза была обнаружена и остановлена ещё в нестабильных выпусках, до того, как был нанесён масштабный урон.
Стиль этой статьи неэнциклопедичен или нарушает нормы литературного русского языка. |
Бэкдор в XZ | |
---|---|
Дата публикации | 29 марта 2024[1] |
Дата открытия (изобретения) | 29 марта 2024[2] и 28 марта 2024[3] |
Зависит от | XZ Utils[вд][4][5] |
Официальный сайт | tukaani.org/xz-ba… (англ.) |
Кем доказано | Андрес Фройнд[вд][6] |
Преступник | Jia Tan[вд] |
Предварительно откомпилированный вредоносный код для архитектуры x64 тайно запрятан в динамическую библиотеку сжатия данных LibLZMA. Неизвестный хакер два года втирался в доверие, пытаясь взять на себя часть работы программиста-одиночки, глубоко знает архитектуру Linux и работу утилит сборки.
Бэкдор получил идентификатор CVE-2024-3094 и максимальный балл серьёзности 10,0.
Это классическая атака на цепочки поставки[англ.]: вместо того, чтобы атаковать сам OpenSSH, атаковали менее защищённого поставщика. Как отмечает The Economist, бэкдор в XZ Utils считается первой известной атакой на менее защищённые части критичной открытой программы, но это не значит, что атака была действительно первой — и вряд ли будет последней[8].
Инцидент раскрыл множество слабых звеньев в открытом сообществе — организационных, технических и просто ошибок. Хакер не пользовался единой точкой отказа, и даже был вынужден спешить, пока одну из проблем не исправили[7]. Некоторые слабости были решены сразу же, а другие требуют сложного решения.