Como devemos definir IA ‘aberta’?
31 de março de 2024
Os riscos e recompensas da IA generativa no desenvolvimento de software
1 de abril de 2024
Quando sua casa é invadida, você pode não compreender inicialmente tudo o que foi levado ou os danos que foram causados. Este é o estado de apreensão que a comunidade Linux sente agora com a recentemente descoberta vulnerabilidade de segurança backdoor xz.
“Este ataque upstream à segurança da cadeia de suprimentos é o tipo de cenário de pesadelo que faz com que as pessoas que o descrevem sejam chamadas de histéricas há anos”, disse o presidente de segurança do Kubernetes, Ian Coldwater. escrito em X. “É real.”
Um engenheiro da Microsoft detectou pela primeira vez o backdoor, que ele rastreou até uma atualização recente da biblioteca de compactação xz. A atualização da biblioteca foi recente, mas já encontrou lar nos lançamentos “rápidos” avançados e contínuos de algumas distribuições Linux.
A porta dos fundos requer uma certa combinação de condições e dependências para ser acionada. No entanto, uma vez acionado, um invasor pode entrar no seu sistema sem qualquer autenticação.
O código errôneo foi rapidamente eliminado, mas agora persistem dúvidas sobre os danos potenciais que esse backdoor já causou – bem como quem plantou esse subterfúgio e quais eram suas intenções.
Ainda mais preocupante é a possibilidade de outros backdoors até então não descobertos que foram plantados nesta biblioteca ou que se enraizaram em versões anteriores da biblioteca que muitos outros servidores ainda usam.
Se não fosse por um engenheiro intrometido…
Graças a Deus pelos engenheiros geeks o suficiente para depurar um tempo de login lento em sua sessão SSH.
O engenheiro de software principal da Microsoft, Andres Freund, percebeu que seu login ssh remoto demorou 500 ms a mais do que deveria. Ele rastreou a latência até uma chamada de sistema que o SSH fez, por algum motivo, para a biblioteca de compressão liblzma, que está incluída no utilitário xz embutido na instalação sid do Debian de Freund.
Ele rastreou o código backdoor no tarball do utilitário xz para o Debian usado no processo de instalação – embora eles não estivessem no código-fonte original do GitHub para a biblioteca.
A bagagem extra era um script obscuro que seria executado no final da configuração dos tarballs.
Freund relatou o tarball sujo para a Debian Security e depois para o canal do distribuidor. A Red Hat enviou este problema como CVE-2024-3094, classificando-o com gravidade 10.
Que esta injeção de código aparentemente malicioso aconteceu até agora no ciclo de lançamento do Linux para o preocupado Freund.
“Dada a atividade ao longo de várias semanas, o committer está diretamente envolvido ou houve algum comprometimento bastante grave do seu sistema. Infelizmente, esta última parece ser a explicação menos provável, dado que foram comunicadas em várias listas sobre as ‘correções’ mencionadas acima”, escreveu ele.
Quem é Jia Tan?
O engenheiro da Red Hat, Richard WM Jones, esteve em contato com o aparente autor do backdoor, ele transmitiu ao Hacker News.
O contribuidor, que atendia pelo nome de Jia Tan, estava “tentando adicionar o xz 5.6.x ao Fedora 40 e 41” por causa de seus “‘grandes novos recursos'”.
Da conta GitHub de Jia Tan.
“Ele faz parte do projeto xz há 2 anos, adicionando todos os tipos de arquivos de teste binários e, para ser honesto, com esse nível de sofisticação, eu suspeitaria de versões ainda mais antigas do xz até prova em contrário”, escreveu Jones.
Verificou-se que os XZ Utils 5.6.0 e 5.6.1 lançam tarballs que contêm o backdoor. Ambos foram criados e assinados por Jia Tan (JiaT75).
Jia Tan é provavelmente um pseudônimo, observou o especialista em segurança Michal Zalewski, explicando que a persona apareceu aparentemente do nada em 2021.
Sem nenhuma atividade anterior sob esse comando, JiaT75 se inscreveu no GitHub em 2021 e começou a trabalhar imediatamente nos projetos dos utilitários xz. A conta não possui informações de identificação além de um endereço do Gmail.
O principal mantenedor do xz é Lasse Collin (Larhzu), que está no projeto desde o seu início. Ele normalmente assina os tarballs xz (um pacote de vários arquivos) para distribuição. Ele deixou Tan cuidar desses últimos lançamentos.
O quanto Collin sabe sobre Tan não está claro. Pouco antes dessa confusão, Collin desconectou-se da Internet, em um período sabático on-line, esperando apenas uma vez postar uma resposta curta no site do projeto.
A investigação de Zaleski descobriu que Collin, nos últimos anos, foi assediado por trolls que o perseguiam para renunciar ao cargo de administrador do xz.
Em uma mensagem, Collin admitiu que ultimamente tinha pouco tempo para acompanhar o crescente acúmulo de problemas. “Algo tem que mudar a longo prazo”, escreveu ele, acrescentando que esperava que Tan assumisse mais funções com o passar do tempo.
Zaleski suspeita que o trabalho do JiaT75, dada a sua alta qualidade geral, não seja de um hobby.
“Todos os sinais apontam para que se trate de uma operação profissional e remunerada”, talvez até levada a cabo por um governo estrangeiro, supôs Zaleski.
Outros especialistas em segurança parecem concordar com a sofisticação geral do código injetado:
“Este pode ser o ataque à cadeia de suprimentos mais bem executado que vimos descrito abertamente, e é um cenário de pesadelo: upstream malicioso, competente e autorizado em uma biblioteca amplamente utilizada”, escreveu o mantenedor de código aberto Filippo Valsorda no BlueSky.
Jia Tan só teve acesso aos arquivos xz hospedados no GitHub; Collin mantém o controle do site. Por segurança, o GitHub desativou todos os repositórios do utilitário xz e suspendeu as contas de Tan e Collin.
O backdoor xz está instalado em seu servidor Linux?
Se você executa sistemas Linux ou macOS, provavelmente possui alguma versão das dependências xz e liblzma, que são necessárias para descompactar pacotes de software para instalação e atualizações.
Até agora, são principalmente distribuições de lançamento contínuo e atualização rápida que ingeriram XZ Utils 5.6.0 e 5.6.1, como Fedora Linux 40 e Fedora Rawhide e as distribuições avançadas Debian.
O Ubuntu 24.04 LTS (Noble Numbat) também continha os arquivos infectados, que já foram removidos. Avisos também foram emitidos pelo Arch e pelo openSUSE.
A Red Hat relatou que nenhuma versão do Red Hat Enterprise Linux foi comprometida.
O backdoor parece ser acionado apenas através de um conjunto selecionado de condições: através de “sistemas remotos sem privilégios conectados a portas SSH públicas”, de acordo com um FAQ do backdoor za-utils publicado pelo desenvolvedor do Gentoo Linux, Sam James.
Além de ter o tarball 5.6.0 ou 5.6.1 instalado, o exploit também deve ser uma distribuição Linux rodando em hardware AMD64 e usa a biblioteca glibc (como todas as versões derivadas do Debian e do Red Hat).
Uma combinação de systemd e patch abresh também parece ser um requisito para o backdoor.
A carga útil é acionada por uma versão em execução do sshd Dameon em /usr/sbin/. O código malicioso na verdade é incorporado em sshd em si, graças a um recente sshd patch para suportar systemd-notify permitindo outros serviços – incluindo libzma – para ser alertado quando sshd está correndo.
Uma vez dentro SSDa carga redireciona a função de descriptografia do sshd para ignorar a autenticação do usuário.
“Outros sistemas podem estar vulneráveis neste momento, mas não sabemos”, escreveu James.
A Red Hat alertou seus usuários sobre a gravidade do comprometimento:
“Sob as circunstâncias certas, esta interferência poderia potencialmente permitir que um ator mal-intencionado quebrasse sshd autenticação e obter acesso não autorizado a todo o sistema remotamente.”
Quantos backdoors xz poderiam existir?
Dadas as condições listadas acima, se você estiver executando uma instância de servidor de um SSH acessível publicamente, James aconselhou que você deveria “Atualize AGORA AGORA AGORA.”
Ele enfatizou que o que se sabe sobre os gatilhos de backdoor e as versões que eles infectam é extremamente limitado neste momento.
“Embora não seja alarmismo, é importante deixar claro que, nesta fase, tivemos sorte e pode muito bem haver outros efeitos do liblzma infectado”, escreveu James.
Por um lado, JiaT75 poderia ter plantado outros backdoors, mais bem escondidos, em versões anteriores do xz durante sua gestão, que remonta pelo menos à v5.3.1?
Isto significaria, é claro, uma muito maior conjunto de distribuições Linux pode ser afetado.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está atualmente investigando mais a fundo o backdoor, de acordo com a Red Hat.
A boa notícia é que poderia ter sido pior: o OpenSSH upstream do Vanilla não é afetado – a menos que libzma é adicionado como uma dependência.
No entanto, o OpenSUSE recomenda que seus usuários do Tumbleweed reinstalem o SSH para servidores públicos, pois não há como saber se esses servidores já foram comprometidos.
De qualquer forma, a forma como a porta dos fundos chegou tão perto de tantos sistemas de produção pode ser um alerta sobre o estado da infra-estrutura da Internet.
“No entanto, acho que isso deveria significar o fim da prática de preferir tarballs upstream construídos manualmente em vez de extrair fontes git diretamente que distribuições como o debian adotaram”, observou um comentarista no LXN.net.
“É o único elo fraco onde existem poucos olhos em um pipeline bastante reproduzível e era apenas uma questão de tempo até que alguém tirasse vantagem disso.”
O post O dano do backdoor do Linux xz pode ser maior do que o temido apareceu pela primeira vez em The New Stack.
