Fél másodperc késés buktatta le a sebezhetőséget, ami megfertőzhette volna az egész világot

A sosemvolt internetes apokalipszisek alfája és ómegája még mindig az a Y2K, amire az egész világ ráparázott, hogy aztán ne történjen semmi, de sok más ilyen eset mellett előkelő helyen említhető még például minden idők legveszélyesebb vírusa, a Conficker is, ami az internet helyett végül saját magát zabálta fel. Erre a listára most már nyugodtan fel lehet írni azt a sebezhetőséget, amit a gazdája éveken át gondozott észrevétlenül, és végül csak azért nem járt sikerrel, mert

a Microsoft egyik programozója saját bevallása szerint is teljesen véletlenül rábukkant, miután egy rendszer tesztelése során észrevette, hogy fél másodperccel lassabban fut le a távoli eléréshez használt protokoll.

Ezt a programozót Andres Freundnak hívják, a március végi felfedezése jelentőségét pedig jól mutatja, hogy ha a hátsó bejárat nyitva marad, a támadó annyira sok rendszerbe tudott volna észrevétlenül bejutni, hogy amellett még az Amerikát négy éve megrázó SolarWinds-kibertámadás is eltörpült volna, ahol a világ egyik legfontosabb kiberbiztonsági cége mellett a fél amerikai kormányt és egy rakás más nagyvállalatot és intézményt is meghekkeltek.

Oké, mi ez az egész?

Freund nagyon röviden összefoglalva arra jött rá, hogy az xz Utils nevű, főleg Linuxon és más Unix-szerű, nyílt forráskódú operációs rendszereken használt fájltömörítő szoftvercsomagba február végén bekerült egy hátsó bejárat. Ez úgy módosított egy fájlt, amit a távoli eléréshez használt Secure Shell (SSH) protokoll használt, hogy a segítségével akár át is lehetett venni egy számítógép felett az irányítást. Ennek technikai részleteiről bővebben itt vagy itt lehet olvasni.

Az xz Utils szinte minden Linux-disztribúción (az operációs rendszer különféle változatain) elérhető, a beépített sebezhetőséggel ellátott verziók több népszerű disztribúció bétaverzióiba is bekerültek, sőt, a kiberbiztonsági szakértőkre szabott Kali Linux esetében két napig benne is volt a stabil verzióban. Az, hogy végül mégsem lett belőle gond, annak köszönhető, hogy Freund egy, a Debian bétaverzióját futtató rendszeren arra lett figyelmes, hogy az SSH-csatlakozások a szokásosnál több erőforrást használtak, és 0,3 másodperc helyett 0,8 másodperc alatt futottak le.

A sebezhetőség így végül nem igazán érintett senkit, mert a stabil verziókba az említett kivételtől eltekintve nem került be a megbuherált xz Utils – de ez kizárólag annak köszönhető, hogy Freund még időben észrevette a hátsó bejáratot. Ha ez nem történt volna meg, a szoftvercsomag a következő hetekben széles körben elérhetővé vált volna, ennek pedig egy, az Ars Technicának nyilatkozó szakértő szerint katasztrofális következményei lettek volna. Egy másik szakértő a Blueskyon arról írt, hogy

ez eddig a legjobban kivitelezett ellátásilánc-támadás, amit Freund posztja alapján tényleg csak a vakszerencsének köszönhetően sikerült elhárítani.

Ezek a támadások azért különösen veszélyesek, mert itt a hekkerek nem egy helyre jutnak be, hanem mindenhova, ahol az általuk kompromittált szoftvert használják, ez pedig egy olyan népszerű programcsomag esetében, mint az xz Utils, gépek millióra jelent veszélyt. A sebezhetőség ráadásul nem is csak a főleg az informatikusok körében népszerű Linuxot érintette volna, az xz Utils régóta elérhető Windowson is, az Ars Technicának pedig többen is jelezték, hogy a macOS-re fejlesztett, Homebrew nevű csomagkezelő rendszer több alkalmazása is az xz Utils hátsó bejárattal ellátott verzióján alapult.

Ki áll a háttérben, és miért?

A jelek szerint itt egy többéves folyamatról van szó, és pont az xz Utils egyik fő fejlesztője, JiaT75, vagy más néven Jia Tan áll mögötte, aki előtte évekig teljesen normálisan építgette a szoftvercsomagot. Jia Tan először 2021-ben tűnt fel a GitHubon, amikor egy nyílt forráskódú projekthez csinált frissítést, és ahogy az ebből az összefoglalóból is látszik, ugyanebben az évben az xz Utilitieshez is írt egy javítócsomagot. Ezt több másik követte, a következő egy évben pedig Jia Tan szép lassan be is került a projektbe, miután

titokzatos, addig sosem látott felhasználók kezdték el zaklatni az eredeti alkotót, Lasse Collint, mert úgy érezték, hogy túl lassan reagált a más fejlesztőktől beérkező frissítésekre.

Így jutottunk el végül 2024. február 23-áig, amikor Jia Tan elhelyezte a sebezhetőség kódját egy olyan, tesztfájlokkal teli könyvtárban, ahol tudta, hogy jó eséllyel nem fog szemet szúrni senkinek, a következő hetekben pedig a folyamatos hibajavítások mellett elkezdte emailen nyomasztani két nagy Linux-disztribúció, a Red Hat és a Debian fejlesztőit, hogy tegyék bele az új, hátsó bejárattal ellátott verziókat az operációs rendszer stabil változatába. Ez pedig nyilvánvalóan meg is történt volna, ha Freund nem veszi észre és teszi közzé a sebezhetőséget.

Azt, hogy kicsoda tulajdonképpen Jia Tan, ezen a ponton lehetetlen megmondani, mindössze annyit tudni róla, hogy az egyik legelterjedtebb linuxos szoftvercsomag mellett más nyílt forráskódú projektek tucatjaihoz nyúlt hozzá az elmúlt években, ami nem sok jót jelent. Az sem biztos, hogy egyetlen emberről van szó, a kiberbiztonsági szakértők ezen a ponton nagyjából biztosak abban, hogy valójában egy államilag szponzorált hekkercsoport állhat a név mögött, a gyanú szerint nem meglepő módon Oroszországból, Kínából vagy Észak-Koreából.

Ezek közül első ránézésre Kína tűnik a legvalószínűbbnek, a név mellett azért is, mert az általa létrehozott verziók általában az ottani, UTC+8-as időzónából érkeztek, de a Wirednek több szakértő is arról beszélt, hogy ez inkább elterelés lehet. Egyrészt mert előfordult, hogy kelet-európai vagy közel-keleti időzónából érkeztek újabb verziók – és eszerint mindegyik 9 és 17 óra között érkezett, azaz munkaidőben –, másrészt pedig mert Jia Tan rendszeresen dolgozott a kínai nemzeti ünnepeken, karácsonykor és újévkor viszont nem.

Emiatt valószínűbbnek tűnik, hogy az orosz hírszerzésnek dolgozó Cozy Bear, más néven APT29 állhat a háttérben, amit a már említett SolarWinds-hekkeléssel is összefüggésbe hoztak, ahol szintén egy annyira szofisztikált ellátásilánc-támadást vittek véghez, ami a kínai APT41-re vagy az észak-koreai Lazarusra kevésbé jellemző. Az mindenesetre biztos, hogy Jia Tan könnyen visszatérhet még más néven, hogy magát segítő szándékú, lelkes programozónak kiadva férkőzzön be széles körben elterjedt, nyílt forráskódú programok fejlesztésébe, ez pedig ismét rávilágít a hobbiból dolgozó önkéntes programozókra támaszkodás veszélyeire.