Bagaimana seorang sukarelawan menghentikan pintu belakang untuk mengekspos sistem Linux di seluruh dunia

Linux, sistem operasi open source yang paling banyak digunakan di dunia, nyaris lolos dari serangan siber besar-besaran pada akhir pekan Paskah, semuanya berkat seorang sukarelawan.

Pintu belakang disertakan dalam versi terbaru format kompresi Linux yang disebut XZ Utils, alat yang kurang dikenal di luar dunia Linux tetapi digunakan di hampir setiap distribusi Linux untuk mengompresi file besar, membuatnya lebih mudah untuk ditransfer. Jika virus ini menyebar lebih luas, banyak sistem yang akan tetap rentan selama bertahun-tahun.

Dan sebagai Ars Teknika diperhatikan di Ringkasan yang komprehensifPelaku sedang mengerjakan proyek tersebut di depan umum.

Kerentanan, yang diperkenalkan pada login jarak jauh Linux, hanya mengekspos dirinya pada satu kunci, sehingga dapat disembunyikan dari pemindaian komputer umum. menyukai Ben Thompson menulis di Strachry. “Mayoritas komputer di dunia akan rentan dan tidak seorang pun akan mengetahuinya.”

Kisah penemuan pintu belakang XZ dimulai pada pagi hari tanggal 29 Maret, seperti yang diposting oleh pengembang Microsoft yang berbasis di San Francisco, Anders Freund, di Mastodon dan Saya mengirim email Ke milis keamanan OpenWall dengan judul: “pintu belakang upstream xz/liblzma menyebabkan kompromi server ssh.”

Freund, yang menjadi sukarelawan sebagai “supervisor” di PostgreSQL, database berbasis Linux, memperhatikan beberapa hal aneh selama beberapa minggu terakhir saat menjalankan pengujian. Login terenkripsi ke liblzma, bagian dari pustaka kompresi XZ, menghabiskan banyak CPU. Tak satu pun alat pertunjukan yang dia gunakan mengungkapkan apa pun,” tulis Freund di Mastodon. Hal ini segera menimbulkan kecurigaannya, dan dia teringat akan “keluhan aneh” dari pengguna Postgres beberapa minggu sebelumnya tentang Valgrind, sebuah program Linux yang memeriksa kesalahan memori.

Setelah beberapa penyelidikan, Freund akhirnya menemukan apa yang salah. “XZ Warehouse dan XZ Tar Balls telah ditutup kembali,” kata Freund dalam emailnya. Kode berbahaya ada di alat dan perpustakaan xz versi 5.6.0 dan 5.6.1.

Tak lama setelah itu, perusahaan perangkat lunak sumber terbuka Red Hat mengirimkan pesan Peringatan keamanan darurat Untuk pengguna Fedora Rawhide dan Fedora Linux 40. Pada akhirnya, perusahaan menyimpulkan bahwa Fedora Linux 40 beta berisi dua versi perpustakaan xz yang terpengaruh. Ada kemungkinan bahwa versi Fedora Rawhide menerima versi 5.6.0 atau 5.6.1 juga.

Harap segera berhenti menggunakan produk FEDORA RAWHIDE untuk bisnis atau aktivitas pribadi. Fedora Rawhide akan segera dikembalikan ke xz-5.4.x, dan setelah ini selesai, instance Fedora Rawhide dapat di-deploy ulang dengan aman.

Meskipun Debian versi beta, distribusi Linux gratis, berisi paket yang disusupi oleh tim keamanannya Saya bertindak cepat Untuk kembali kepada mereka. “Saat ini, tidak ada versi stabil Debian yang terpengaruh,” tulis Salvatore Bonaccorso dari Debian dalam peringatan keamanan kepada pengguna pada Jumat malam.

Freund kemudian mengidentifikasi orang yang mengirim kode berbahaya tersebut sebagai salah satu dari dua pengembang utama xz Utils, yang dikenal sebagai JiaT75 atau Jia Tan. “Mengingat aktivitas tersebut telah berlangsung selama beberapa minggu, pelakunya terlibat secara langsung atau terjadi gangguan besar pada sistem mereka. Sayangnya, alasan terakhir tampaknya menjadi penjelasan yang paling tidak masuk akal, mengingat mereka berbicara dalam daftar 'perbaikan' yang berbeda. ' disebutkan di atas,” tulis Freund dalam bukunya. analisissetelah menghubungkan beberapa solusi yang dibuat oleh JiaT75.

JiaT75 adalah nama yang familiar: mereka pernah bekerja bersama pengembang asli format file .xz, Lasse Collin, untuk sementara waktu. Seperti yang ditunjukkan oleh programmer Ross Cox dalam bukunya jadwalJiaT75 mulai mengirimkan patch yang tampaknya sah ke milis XZ pada Oktober 2021.

Bagian lain dari skema ini terungkap beberapa bulan kemudian, ketika dua identitas lainnya, Jigar Kumar dan Dennis Ince, Pengaduan sudah mulai dikirim melalui email Kepada Colin tentang kesalahan dan lambatnya perkembangan proyek. Namun, seperti yang tercantum dalam laporan Evan Buhs Lainnya, “Kumar” dan “Ins” belum pernah terlihat di luar komunitas XZ, membuat penyelidik percaya bahwa keduanya palsu yang hanya ada untuk membantu Jia Tan mengakses lokasinya untuk mengirimkan kode pintu belakang.

“Saya minta maaf atas masalah kesehatan mental Anda, namun penting untuk menyadari batasan Anda. Saya menyadari ini adalah proyek hobi untuk semua kontributor, namun komunitas menginginkan lebih,” tulis Ince dalam salah satu pesannya, sementara Kumar berkata dalam yang lain: “Kemajuan tidak akan terjadi.” Sampai ada pengawas baru.”

Di tengah perdebatan tersebut, Collins menulis: “Saya tidak kehilangan minat tetapi kemampuan saya untuk peduli agak terbatas karena masalah kesehatan mental jangka panjang dan juga beberapa hal lainnya,” dan menyarankan agar Jia Tan mengambil peran yang lebih besar. “Perlu diingat juga bahwa ini adalah proyek hobi yang tidak berbayar,” tutupnya. Email dari Kumar dan Ens berlanjut hingga Tan ditambahkan sebagai moderator pada akhir tahun itu, untuk dapat melakukan modifikasi dan mencoba memperkenalkan paket backdoor ke dalam distribusi Linux dengan otoritas lebih.

Insiden backdoor xz dan akibatnya adalah contoh keindahan open source dan kerentanan luar biasa pada infrastruktur Internet.

Pengembang FFmpeg, paket media sumber terbuka yang populer, telah menyoroti masalah ini Dalam sebuah tweet“Kegagalan xz menunjukkan bagaimana mengandalkan sukarelawan yang tidak dibayar dapat menyebabkan masalah besar. Perusahaan bernilai triliunan dolar mengharapkan dukungan mendesak dan gratis dari para sukarelawan. Mereka membawa tanda terima yang menunjukkan cara mereka menangani bug 'prioritas tinggi' yang memengaruhi Microsoft Teams.

Meskipun Microsoft bergantung pada perangkat lunaknya, pengembang tersebut menulis: “Setelah dengan sopan meminta kontrak dukungan dari Microsoft untuk pemeliharaan jangka panjang, mereka malah menawarkan pembayaran satu kali sejumlah beberapa ribu dolar… Investasi dalam pemeliharaan dan keberlanjutan tidak menarik dan seorang manajer menengah mungkin tidak akan mendapatkannya.” Untuk promosinya, dia bahkan akan membayarnya ribuan kali lipat selama bertahun-tahun.

Rincian mengenai siapa dalang di balik JiaT75, bagaimana rencana mereka akan dilaksanakan, dan tingkat kerusakannya telah diungkapkan oleh sejumlah pengembang dan profesional keamanan siber, baik di media sosial maupun forum online. Namun hal ini terjadi tanpa dukungan finansial langsung dari banyak perusahaan dan organisasi yang memperoleh manfaat dari kemampuan menggunakan perangkat lunak yang aman.