کشف بکدور خطرناک در ابزار فشرده‌سازی xz لینوکس

یک درب پشتی یا بکدور (backdoor) خطرناک ابزار فشرده‌سازی پرکاربرد xz در توزیع‌های مبتنی بر فدورا سیستم عامل لینوکس کشف شده است که امکان دسترسی غیر مجاز به سرویس‌های SSH را فراهم می‌آورد. این بکدور در نسخه‌های ۵.۶.۰ و ۵.۶.۱ ابزار فشرده‌سازی xz وجود دارد و تهدیدی برای امنیت سایبری سازمان‌ها محسوب می‌شود. کاربران باید در سریع‌ترین زمان ممکن، توزیع‌های Debian sid، Fedora 40، Fedora Rawhide، openSUSE Tumbleweed و openSUSE MicroOS را بروزرسانی کنند.

ابزار xz لینوکس چیست؟

ابزار فشرده‌سازی xz تقریبا در تمامی توزیع‌های لینوکس یافت می‌شود. این ابزار، امکان فشرده‌سازی بدون از دست رفتن داده‌ها را در تمامی سیستم‌های عامل مشابه یونیکس مثل لینوکس، فراهم می آورد. این ابزار از فرمت .lzma نیز پشتیبانی می‌کند.

کشف بکدور در xz

در روز جمعه دهم فروردین ۱۴۰۲، یکی از توسعه‌دهندگان مایکروسافت، گزارش داد که یک بکدور به صورت عمدی در نسخه‌های ۵.۶.۰ و ۵.۶.۱ ابزار فشرده‌سازی xz قرار گرفته است. xz نوعی ابزار متن‌باز است که تقریبا برای تمامی توزیع‌های لینوکس و دیگر سیستم‌های عامل مشابه یونیکس در دسترس قرار دارد. این طور به نظر می‌رسد که افراد پشت این پروژه، سال‌ها روی آن وقت گذاشته‌اند و احتمالا خیلی به اضافه کردن این بکدور به توزیع‌های دبیان و رد هت لینوکس نزدیک شده‌ بودند که خوشبختانه، توسعه‌دهنده تیزبین مایکروسافت، «آندرس فروند» (Andres Freund) دست آن‌ها را رو کرد.

این توسعه‌دهنده که اخیرا در حال کار کردن روی مشکلات عملکردی SSH، پرکاربردترین پروتکل مورد استفاده برای ورود به سیستم‌ها بر بستر اینترنت، در دبیان بود، متوجه شد که لاگین‌های SSH، دوره‌های CPU زیادی را مصرف می‌کنند و سبب ایجاد خطاهایی در ابزار valgrind می‌شوند. کار ابزار valgrind، نظارت بر حافظه کامپیوتر است.
آندرس فروند با تیزبینی متوجه شد که این مشکلات در SSH، به دلیل آپدیت‌های اخیر در ابزار فشرده‌سازی xz هستند که به صورت عمدی، یک بکدور را به این ابزار اضافه کرده‌اند.

چرا بکدور xz خطرناک است؟

این بکدور، sshd را که نوعی فایل اجرایی مورد استفاده برای برقراری اتصالات از راه دور SSH است، تغییر می‌دهد. هر کسی که یک کد رمزنگاری از پیش تعیین‌شده را داشته باشد، می‌تواند هر نوع کد دلخواه خودش را در گواهینامه ورود SSH درج و آن را اجرا کند. با این حال، هیچ کس هنوز کد آپلود شده توسط مهاجم را ندیده است و معلوم نیست که هکر قصد اجرای چه کدی را داشته است. روی کاغذ، این بکدور به هکر این امکام را می‌دهد که هر کاری، از سرقت کلیدهای رمزنگاری گرفته تا نصب بدافزار روی دستگاه کاربران را انجام دهد.

در واقع، بکدور کشف شده در ابزار فشرده‌سازی xz به هکر این امکان را می‌دهد تا با داشتن نوعی کلید خصوصی که خودش طراحی کرده است، sshd را هایجک کند.

این آسیب‌پذیری با شناسه CVE-2024-3094 ثبت شده است.

چطور از حضور بکدور xz در سیستم‌های سازمان خود خبردار شویم؟

شناسایی و برطرف کردن بکدور xz در سیستم‌های لینوکس سازمان‌ها از اهمیت بسیار بالایی برخوردار است زیرا اگر این بکدور شناسایی نشود، هکرها می‌توانند سیستم‌ها و شبکه‌های داخلی سازمان‌ها را که از سیستم عامل لینوکس استفاده می‌کنند، به راحتی هک کنند. برای اینکه بدانید آیا بکدور xz در سیستم‌های سازمان شما حضور دارد، می‌توانید تست نفوذ انجام دهید.