باب خلفي في XZ Utils يكشف مخاطر أمنية في لينكس

هز باب خلفي في XZ Utils مجتمع البرمجيات مفتوحة المصدر في ربيع 2024، كاشفًا كيف يمكن للكود الضار التسلل إلى الأدوات المستخدمة على نطاق واسع. XZ Utils، الضروري لضغط البيانات في العديد من توزيعات لينكس، تم التلاعب بإصدارات 5.6.0 و5.6.1، مما يمكن من تنفيذ كود عن بعد عبر SSH إذا وصلت الإصدارات المصابة إلى الإنتاج.

أندريس فريوند، مهندس في مايكروسوفت، أبلغ الآخرين لأول مرة في 29 مارس 2024، بعد ملاحظة أنماط غريبة في استخدام المعالج في الاختبارات الروتينية. كشفت تحقيقه عن الباب الخلفي، مما منع الانتشار الواسع. المهاجم، الذي استخدم الاسم المستعار Jia Tan، بنى الثقة على مدى عامين من خلال تقديم تصحيحات غير ضارة قبل تصعيد الامتيازات لإدراج الكود.

جاء التمويه من إخفاء العناصر الضارة في ملفات اختبار ثنائية ونصوص بناء داخل مستودعات Git، متجنبًا المراجعات القياسية. تم توزيع الكود عبر tarballs خارج الشجرة الرئيسية لـ Git، متجاوزًا العديد من الأدوات الآلية. يقترح تحليل من Optimized by Otto ممارسات أفضل في Git، مثل تدقيق تاريخ الالتزامات والثنائيات، بالإضافة إلى مراجعات الأقران الإلزامية، كان يمكن أن تكتشف الشذوذ مبكرًا.

عمليات التعبئة في Debian أيضًا فاتت التهديد، حيث كانت الإصدارات الملوثة على وشك الإدراج في فروع غير مستقرة، مما يؤثر على مشتقات مثل Ubuntu وFedora. أدوات مثل البناءات القابلة للتكرار وdiffoscope لمقارنة الحزم المصدرية والثنائية كانت يمكن أن تكتشف التغييرات في مكتبة liblzma.

شمل نهج Jia Tan الهندسة الاجتماعية، مضغطًا على المطور الأصلي Lasse Collin للتخلي عن السيطرة. يبرز الحدث مخاطر في المشاريع المدارة من قبل المتطوعين ويدعو إلى إصلاحات نظامية، بما في ذلك تمويل المطورين ودمج الأمان في خطوط CI/CD. منظمات مثل OpenSSF زادت جهودها، بينما توصي شركات الأمان مثل Akamai بالتراجع عن الإصدارات والمراقبة للتخفيف من المخاطر في الشركات التابعة لـ Linux.