심각한 백도어 인터넷 보안 침해가 구현 전에 실수로 발견되었습니다.

[이매진]

심각한 백도어 인터넷 보안 침해가 구현 전에 실수로 발견되었습니다.

https://mishtalk.com/economics/critical-backdoor-internet-security-breach-accidentally-found-before-implementation/

Critical Backdoor Internet Security Breach Accidentally Found Before Implementation

2024년 3월 30일

•

오후 8시 42분

•

댓글 1개구현 전 실수로 발견된 심각한 백도어 인터넷 보안 위반에 대해

•

경제학

나는 Microsoft 엔지니어가 몇 년 동안 진행되어 거의 구현되었던 대규모 백도어 보안 위반을 어떻게 발견했는지에 대한 이야기에 매료되었습니다.

배경

널리 사용되는 압축 유틸리티에는 누군가가 전체 시스템에 원격으로 액세스할 수 있게 해주는 소프트웨어 백도어가 숨겨져 있었습니다.

이는 수년에 걸쳐 신뢰를 얻은 Jia Tan, @JiaT75라는 사용자의 다년간의 노력이었습니다. 그의 계정은 이제 모든 곳에서 정지되었습니다.

HackerNews에 흥미로운 내용이 있습니다.

Microsoft 보안 연구원인 Andres Freund는 금요일에 이 문제를 발견하고 보고한 공로를 인정 받았습니다.

 심각하게 난독화된 이 악성 코드는 JiaT75라는 사용자가 GitHub의 Tukaani 프로젝트 에 대한 일련의 4번의 커밋을 통해 도입된 것으로 알려졌습니다  .

긴 게임

이러한 오픈소스 프로젝트는 자원봉사 활동입니다. 그들은 아무것도 지불하지 않습니다.

일반적으로 코드 책임자인 Lasse Collin(Larhzu)은 2009년부터 유틸리티를 유지했지만 소진을 겪고 있었습니다.

Jia Tan은 지난 2~2.5년 동안 기여를 시작했으며 약 1.5년 전에 커밋 액세스 권한을 얻은 후 관리자 권한을 해제했습니다.

수년간의 해킹 음모에서 백도어 발견

이 이야기의 대부분은 극도로 괴상하고 이해하기 어렵습니다. Unicorn Riot에 대한 기사는 일반적으로 읽을 수 있습니다.

수년간의 해킹 음모에서 밝혀진 백도어를 고려해보세요

매혹적이지만 불길한 소프트웨어 이야기가 금요일에 공개되었습니다. 널리 사용되는 " xz utils "라는 파일 압축 소프트웨어 패키지에는 셸 로그인 연결을 백도어하는 시스템이 교묘하게 내장되어 있으며, 이 위험한 패키지가 수많은 인터넷 지원 장치에 얼마나 멀리까지 침투했는지는 확실하지 않습니다. 이를 주입한 페르소나는 오랫동안 게임을 했고, 합법적인 메인 개발자의 신뢰를 얻어 스스로 새 버전을 출시할 수 있는 힘을 얻은 것으로 보입니다.

Andreas Freund는  이번 금요일 아침 업계 보안 메일링 리스트에 보고하여 많은 전문가들이 하루 종일 바위 밑을 파고 현대 디지털 불안의 심연을 들여다보게 했습니다.  "업스트림 xz 저장소와 xz 타르볼이 백도어가 되었습니다."라고  Freund는 썼습니다. 이는 가장 기본적인 수준에서 현대 컴퓨팅에 필수적인 SSH 데몬(sshd)에 교묘하게 구멍을 뚫습니다.

이것이 발견되지 않았을 경우의 위험은 극단적이었습니다.  @thegrugq  전문가는 다음과 같이 말했습니다.  “최종 게임은 인터넷상의 모든 Fedora, Debian 및 Ubuntu 상자에 로그인할 수 있는 능력이 될 것입니다. 국가 행위자가 아니라면 그래야 한다… 

암호학자 Filippo Valsorda  는 "이것은 우리가 공개적으로 설명한 것 중 가장 잘 실행된 공급망 공격일 수 있으며 악몽 같은 시나리오입니다. 널리 사용되는 라이브러리에서 악의적이고 유능하며 승인된 업스트림입니다." 라고 말했습니다 . 

Freund가 새 버전으로 인해 PostgreSQL 데이터베이스 테스트 속도가 느려지는 것을 발견하고 이러한 현상이 발생한 이유를 디버깅하기 시작한 후 문제가 발견되었습니다. 백도어는 작지만 눈에 띄는 성능 저하를 유발하는 것으로 나타났습니다. 이는 어디에서나 까다로운 벤치마킹 유형에 큰 도움이 됩니다.

미니애폴리스 보안 전문가 Ian Coldwater는 다음과 같이  언급했습니다 .  “오픈 소스 관리자의 피로는 명백하고 현존하는 보안 위험입니다. 이에 대해 우리는 무엇을 하고 있나요?”

원래 개발자가 번아웃을 고백한 2022년 6월 메시지는 Jia Tan이 어떻게 소프트웨어에 대한 통제권을 얻었는지 보여줍니다.

“흥미를 잃지는 않았지만 주로 장기적인 정신 건강 문제뿐만 아니라 다른 이유로 인해 치료 능력이 상당히 제한되었습니다. 최근에 나는 XZ Utils에서 Jia Tan과 함께 오프리스트로 작업했는데 아마도 그가 미래에 더 큰 역할을 맡게 될 것입니다.

이는 무급 취미 프로젝트라는 점도 명심해 두시면 좋습니다.

어쨌든, 나는 별로 진전이 이루어지지 않은 문제에 대해 너무 잘 알고 있음을 확신합니다. 현재 상황이 프로젝트에 명백히 좋지 않고 슬프기 때문에 새로운 관리자를 찾는 생각도 오랫동안 존재해 왔습니다.

새로운 XZ Utils 안정 브랜치는 올해 스레드 디코더 등을 포함하여 출시될 예정이며 그 전에 몇 가지 알파/베타 릴리스가 출시될 것입니다. 아마도 5.4.0 릴리스 이후의 순간이 프로젝트 관리자 목록을 변경하기에 편리한 순간이 될 것입니다. 포크는 분명히 또 다른 가능성이며 나는 그것을 통제할 수 없습니다. [...]” Lasse Collin, xz-devel 메일링 리스트 , 2022년 6월 8일

일부 관찰자들은 이메일로 콜린을 괴롭히는 인물이 그의 통제권을 빼앗으려는 양말 인형일 수도 있다고 의심합니다. 자세한 보고서 에서  ars technica는  악의적인 행위자가 수년에 걸쳐 많은 바이너리 테스트 파일을 변경했기 때문에 이전 버전에서도 보안 문제가 발생할 수 있다고 경고했습니다.

지금 펼쳐지는 뒷문 이야기

업스트림 백도어

“ 매우 짜증나는 일입니다. 백도어를 만든 것으로 보이는 사람은 “훌륭한 새 기능” 때문에 Fedora 40 및 41에 xz 5.6.x를 추가하려고 몇 주에 걸쳐 저와 연락을 주고받았습니다 . 우리는 그와 함께 valgrind 문제를 해결하기까지 했습니다(지금은 그가 추가한 백도어로 인해 발생한 것으로 밝혀졌습니다). 우리는 부주의하게 금수 조치를 위반한 후 문제를 해결하기 위해 어젯밤에 경주해야 했습니다.”

"그는 2년 동안 xz 프로젝트에 참여하여 모든 종류의 바이너리 테스트 파일을 추가했습니다. 솔직히 말해서 이러한 수준의 정교함으로 인해 달리 입증될 때까지 xz의 이전 버전도 의심스러울 것입니다."

미국 보안 경고

미국 CISA(사이버보안 및 인프라 보안국)는 XZ Utils 데이터 압축 라이브러리에 영향을 미치는 공급망 손상에 대한 경고(CVE-2024-3094) 를 발표했습니다.

CISA와 오픈 소스 커뮤니티는 XZ Utils 버전 5.6.0 및 5.6.1에 악성 코드가 내장되어 있다는 보고에 대응하고 있습니다. 이 활동에는 CVE-2024-3094가 할당되었습니다. XZ Utils는 데이터 압축 소프트웨어이며 Linux 배포판에 있을 수 있습니다. 악성 코드는 영향을 받는 시스템에 대한 무단 액세스를 허용할 수 있습니다.

업계 전반의 계산이 필요함

Mastadon 사용자 @glyph 는 "이로 인해 정신 건강 위기가 서서히 진행되는 과로한 사람의 어깨에 빌어먹을 제품 전체를 얹어 놓는 일반적인 관행이 업계 전반에 걸쳐 반영되기를 진심으로 바랍니다."라고 말했습니다. .

이것이 어떻게 거의 구현되었는지에 대한 흥미로운 타임라인 은 다음과 같습니다 .

여기 영웅이 있습니다

와, 그냥 와.

아마도 이 코드가 구현되기까지 며칠이 남았을 것입니다.

MishTalk 이메일 알림을 구독하세요.

이메일을 입력하세요…

구독하다

구독자는 각 게시물에 대한 이메일 알림을 받습니다. 마음에 드는 내용을 읽고 언제든지 구독을 취소할 수 있습니다.

이 게시물의 출처는 MishTalk.Com 입니다.

시청해주셔서 감사합니다!