자원 봉사자가 전 세계 Linux 시스템을 노출시키는 백도어를 중지한 방법

세계에서 가장 널리 사용되는 오픈 소스 운영 체제인 Linux는 자원봉사자 덕분에 부활절 주말에 대규모 사이버 공격을 간신히 피했습니다.

백도어는 XZ Utils라는 Linux 압축 형식의 최신 버전에 포함되어 있습니다. 이 도구는 Linux 외부에서는 거의 알려지지 않았지만 거의 모든 Linux 배포판에서 대용량 파일을 압축하여 전송을 더 쉽게 만드는 데 사용됩니다. 바이러스가 더 널리 퍼졌다면 수많은 시스템이 수년 동안 취약한 상태로 남아 있었을 것입니다.

그리고 아르스 테크니카 에서 발견 종합 요약가해자는 공개적으로 프로젝트를 진행하고 있었습니다.

리눅스 원격 로그인에 도입된 취약점은 단일 키에만 노출되어 공개 컴퓨터 검사에서 숨길 수 있었습니다. 좋다 벤 톰슨이 쓴다 스트라크리. “전 세계 컴퓨터의 대부분은 취약할 것이며 누구도 이를 알지 못할 것입니다.”

XZ 백도어 발견 이야기는 3월 29일 이른 아침, 샌프란시스코에 본사를 둔 Microsoft 개발자 Anders Freund가 Mastodon에 게시한 것처럼 시작됩니다. 이메일을 보냈어요 “xz/liblzma 업스트림 백도어가 ssh 서버 손상을 초래합니다.”라는 제목의 OpenWall 보안 메일링 리스트입니다.

Linux 기반 데이터베이스인 PostgreSQL에서 “감독자”로 자원 봉사하고 있는 Freund는 테스트를 실행하는 동안 지난 몇 주 동안 몇 가지 이상한 점을 발견했습니다. XZ 압축 라이브러리의 일부인 liblzma에 대한 암호화된 로그인은 상당한 양의 CPU를 소비했습니다. 그가 사용한 연주 도구 중 어느 것도 아무것도 드러내지 않았습니다.”라고 Freund는 Mastodon에 썼습니다. 이는 즉시 그의 의심을 불러일으켰고 그는 몇 주 전에 메모리 오류를 확인하는 Linux 프로그램인 Valgrind에 대해 Postgres 사용자가 제기한 “이상한 불만”을 회상했습니다.

몇 가지 조사 끝에 Freund는 결국 무엇이 잘못되었는지 발견했습니다. Freund는 이메일에서 “XZ Warehouse와 XZ Tar Balls가 폐쇄되었습니다.”라고 언급했습니다. 악성 코드는 xz 도구 및 라이브러리 버전 5.6.0 및 5.6.1에 존재했습니다.

얼마 지나지 않아 오픈소스 소프트웨어 회사인 Red Hat에서 메시지를 보냈습니다. 긴급 보안 알림 Fedora Rawhide 및 Fedora Linux 40 사용자의 경우 궁극적으로 회사는 Fedora Linux 40 베타에 영향을 받는 두 가지 xz 라이브러리 버전이 포함되어 있다고 결론지었습니다. Fedora Rawhide 버전도 버전 5.6.0 또는 5.6.1을 받았을 가능성이 있습니다.

비즈니스 또는 개인 활동을 위한 FEDORA RAWHIDE 제품 사용을 즉시 중단하십시오. Fedora Rawhide는 곧 xz-5.4.x로 롤백될 예정이며, 이 작업이 완료되면 Fedora Rawhide 인스턴스를 안전하게 재배포할 수 있습니다.

무료 Linux 배포판인 Debian 베타 버전에는 보안 팀에 의해 손상된 패키지가 포함되어 있지만 빠르게 행동했어요 그들에게 돌아가기 위해. 데비안의 Salvatore Bonaccorso는 금요일 저녁 사용자들에게 보낸 보안 경고에서 “현재 데비안의 안정적인 버전은 영향을 받지 않습니다.”라고 썼습니다.

Freund는 나중에 악성 코드를 보낸 사람이 JiaT75 또는 Jia Tan으로 알려진 두 명의 수석 xz Utils 개발자 중 한 명임을 확인했습니다. “활동이 몇 주 동안 계속되었다는 점을 고려하면 가해자는 직접적으로 연루되었거나 시스템에 심각한 손상이 있었습니다. 불행하게도 후자가 '수정 사항'에 대한 다른 목록을 사용했다는 점을 고려하면 가능성이 가장 낮은 설명인 것 같습니다. ' 위에서 언급한 바와 같이, 프로인트는 자신의 책에서 이렇게 썼습니다. 분석JiaT75에서 만든 여러 솔루션을 연결한 후.

JiaT75는 친숙한 이름이었습니다. 그들은 한동안 .xz 파일 형식의 원래 개발자인 Lasse Collin과 함께 일해 왔습니다. 프로그래머 Ross Cox가 그의 책에서 지적했듯이 시간표JiaT75는 2021년 10월부터 겉보기에 합법적인 패치를 XZ 메일링 리스트에 보내기 시작했습니다.

이 계획의 다른 부문은 몇 달 후 Jigar Kumar와 Dennis Ince라는 두 명의 다른 신원으로 공개되었습니다. 불만 사항이 이메일을 통해 전송되기 시작했습니다. 프로젝트의 실수와 느린 개발에 대해 Colin에게. 그러나 보고서에 명시된 바와 같이 에반 부스 다른 “Kumar”와 “Ins”는 XZ 커뮤니티 외부에서 본 적이 없으므로 조사관은 둘 다 Jia Tan이 백도어 코드를 전달하기 위해 자신의 위치에 액세스하는 것을 돕기 위해 존재하는 가짜라고 믿게 되었습니다.

“정신 건강 문제는 안타깝지만 한계를 인식하는 것이 중요합니다. Ince는 한 메시지에서 “이것이 모든 기여자를 위한 취미 프로젝트라는 것을 알고 있지만 커뮤니티는 더 많은 것을 원합니다”라고 말했습니다. 또 다른: “진행은 일어나지 않을 것입니다.” 새로운 감독자가 나올 때까지.

이런 가운데 콜린스는 “흥미를 잃은 것은 아니지만 장기적인 정신 건강 문제 등으로 인해 돌봄 능력이 다소 제한됐다”며 지아 탄에게 더 큰 역할을 맡길 것을 제안했다. 이어 “이것이 무급 취미 프로젝트라는 점을 명심해 두는 것도 좋다”고 결론지었다. Kumar와 Ens의 이메일은 그해 후반에 Tan이 중재자로 추가될 때까지 계속되었으며, 이를 통해 백도어 패키지를 수정하고 더 많은 권한을 갖고 Linux 배포판에 도입하려고 시도할 수 있었습니다.

xz 백도어 사건과 그 여파는 오픈 소스의 아름다움과 인터넷 인프라의 놀라운 취약성을 보여주는 예입니다.

인기 있는 오픈 소스 미디어 패키지인 FFmpeg의 개발자는 이 문제를 강조했습니다. 트윗에서“xz 대실패는 무급 자원봉사자에게 의존하는 것이 얼마나 큰 문제를 일으킬 수 있는지를 보여주었습니다. 수조 달러 규모의 기업은 자원봉사자로부터 무료로 긴급한 지원을 기대합니다. 그들은 Microsoft Teams에 영향을 미치는 '우선순위' 버그를 어떻게 처리했는지 나타내는 영수증을 가져왔습니다.

Microsoft가 자사 소프트웨어에 의존하고 있음에도 불구하고 개발자는 다음과 같이 썼습니다. “장기 유지 관리를 위해 Microsoft에 지원 계약을 정중하게 요청한 후 그들은 대신 수천 달러의 일회성 지불을 제안했습니다. 유지 관리 및 지속 가능성에 대한 투자는 매력적이지 않으며 중간 관리자라면 아마 이해하지 못할 거예요.” 그의 승진을 위해 그는 심지어 수년에 걸쳐 그에게 천 배의 급여를 지급할 것입니다.

JiaT75의 배후에 있는 사람, 그들의 계획이 어떻게 수행될 것인지, 피해 규모에 대한 세부 사항은 개발자와 사이버 보안 전문가 군대에 의해 소셜 미디어와 온라인 포럼에서 공개되었습니다. 그러나 이는 보안 소프트웨어 사용으로 혜택을 받는 많은 기업과 조직의 직접적인 재정 지원 없이 발생합니다.