Source: The Verge
Linux,全球最广泛使用的开源操作系统,仅仅靠一名志愿者的努力,于复活节周末逃过一场大规模网络攻击。一个大规模后门被插入了一个名为XZ Utils的Linux压缩格式的最近版本中,这是一个在Linux世界以外鲜为人知的工具,但几乎每个Linux发行版都使用它来压缩大文件,使文件传输变得更加容易。如果后门传播得更广泛,无数系统可能会受到多年的威胁。一个志愿者及时发现了这个漏洞,揭露了这一事件。致命的漏洞被插入到Linux的远程登录系统中,只暴露给一个密钥,以便在公共计算机的扫描中隐藏自己。在个人技术分析文章中写道:“全球大多数计算机都将面临漏洞,而且没有人会知道。这个XZ后门事件的发现始于3月29日清晨,一位驻扎在旧金山的微软开发人员通过Mastodon发帖并发邮件给OpenWall的安全邮件列表,标题为“上游xz/liblzma中的后门导致ssh服务器被入侵。这位志愿者,为基于Linux的数据库PostgreSQL担任“维护者”,在过去几周运行测试时注意到了一些奇怪的事情。一些使用liblzma的加密登录正在大量占用CPU。在他在Mastodon上写道,他使用的所有性能工具都没有显示问题。这立即引起了他的怀疑,并让他想起了几周前一个Postgres用户发出的“奇怪投诉”,关于Valgrind,Linux的一个检查内存错误的程序。
经过一番调查,他最终发现了问题所在。在他的邮件中写道:“上游xz存储库和xz压缩包被放了后门。恶意代码存在于xz工具和库的版本5.6.0和5.6.1中。之后,企业开源软件公司Red Hat紧急发出安全警报,针对Fedora Rawhide和Fedora Linux 40的用户。最终,该公司得出结论,Fedora Linux 40的测试版本包含两个受影响的xz库版本。Fedora Rawhide版本可能也收到了版本5.6.0或5.6.1。除了一个Debian的测试版本包含了被感染的软件包外,其安全团队迅速采取措施进行恢复。目前没有人知道任何Debian稳定版本受到影响。在周五晚上向用户发出的一份安全警报中,Debian的Salvatore Bonaccorso写道。友人后来确认,提交恶意代码的人是两位主要的xz开发者之一,称为JiaT75,或者贾坛。鉴于几周来的活动,提交者要么直接参与其中,要么是他们系统遭到了相当严重的入侵。
不幸的是,后者看起来不太可能是一个合理的解释,因为他们在各种列表上就上述的“修复措施”进行了交流。在Friend的分析中写道,贾坛是个熟悉的名字:他们曾与.xz文件格式的原开发者Lasse Collin一起工作过一段时间。正如程序员Russ Cox在他的时间表中指出的,贾坛从2021年10月开始向XZ邮件列表发送了显然合法的补丁。另外一些计划的执行人,Jigar Kumar和Dennis Ens,在几个月后开始向Collin发送关于错误以及项目开发缓慢的投诉。但正如Evan Boehs等人的报道中所指出的那样,“Kumar”和“Ens”从未在XZ社区之外被看到,这导致调查人员相信两者都是虚假的存在,只是为了帮助贾坛顺利提出后门代码。在一封消息中Ens写道:“我很抱歉关于你的心理健康问题,但重要的是要意识到自己的局限性。我知道这对所有贡献者来说都是一个爱好项目,但社区有更高的期望。在另一封消息中Kumar表示:“只有有新的维护人员才会有进展。在这种来回中,Collin写道:“我并没有失去兴趣,但我的关注度相当有限,主要是因为长期的心理健康问题,也因为一些其他事情。并建议贾坛会承担更大的责任。
同样要记住,这是一个无报酬的爱好项目,”他总结道。在贾坛被添加为维护者之后,这些虚假身份将继续与他换发邮件继续进行讨论,以增加他在关于后门软件包的进入Linux发行版中的权威性。XZ后门事件及其后续发展既体现了开源的美好之处,也显示了互联网基础设施的显著漏洞。xz事件给我们的教训是,对维护与可持续发展的投资可能并不显眼,可能不会让中层经理获得晋升,但它们在未来的许多年里会产生成千上万倍的回报。尝试向一个会计官员推销这个理念是很困难的。一名FFmpeg的开发人员在一条推特中突显了这个问题,称“xz事件已经表明对无偿志愿者的依赖可能会造成重大问题。万亿美元的公司却期望从志愿者那里获得免费和紧急的支持。他们还提到了如何处理一个影响微软Teams的“高优先级”错误。尽管微软依赖他们的软件,但开发人员写道:“在礼貌地要求微软进行长期维护的支持合同之后,他们只提供了一次性支付几千美元。xz后门事件及其影响的细节正在被一群开发人员和网络安全专业人员挖掘出来,这些人在社交媒体和在线论坛上进行了调查,但这些工作并没有直接得到许多受益于使用安全软件的公司和组织的财务支持。
开源软件的美好与互联网基础设施的脆弱性在这次XZ事件中得到了充分展示,我们需要更多对软件维护和持续性的重视。
