كيف أوقف أحد المتطوعين بابًا خلفيًا من كشف أنظمة Linux في جميع أنحاء العالم


نجا Linux، وهو نظام التشغيل مفتوح المصدر الأكثر استخدامًا في العالم، بأعجوبة من هجوم إلكتروني ضخم خلال عطلة عيد الفصح، وكل ذلك بفضل متطوع واحد.

تم إدراج الباب الخلفي في إصدار حديث لتنسيق ضغط Linux يسمى XZ Utils، وهي أداة غير معروفة خارج عالم Linux ولكنها تُستخدم في كل توزيعات Linux تقريبًا لضغط الملفات الكبيرة، مما يسهل نقلها. ولو كان الفيروس قد انتشر على نطاق أوسع، لكان من الممكن أن يظل عدد لا يحصى من الأنظمة عرضة للخطر لسنوات.

و كما آرس تكنيكا كما لوحظ في ملخصه الشامل، أن الجاني كان يعمل في المشروع في العلن.

ولم تكشف الثغرة الأمنية، التي تم إدخالها في تسجيل الدخول عن بعد لنظام التشغيل Linux، عن نفسها إلا لمفتاح واحد، حتى تتمكن من الاختباء من عمليات فحص أجهزة الكمبيوتر العامة. كما كتب بن طومسون ستراتشري. “ستكون غالبية أجهزة الكمبيوتر في العالم معرضة للخطر ولن يعلم أحد”.

تبدأ قصة اكتشاف الباب الخلفي لـ XZ في الصباح الباكر من يوم 29 مارس، حيث نشر مطور Microsoft ومقره سان فرانسيسكو أندريس فرويند على Mastodon وأرسل بريدًا إلكترونيًا إلى القائمة البريدية الأمنية لـ OpenWall بعنوان: “backdoor in upstream xz/liblzma يؤدي إلى اختراق خادم ssh.”

لاحظ فرويند، الذي تطوع بصفته “مشرفًا” في PostgreSQL، وهي قاعدة بيانات قائمة على Linux، بعض الأشياء الغريبة خلال الأسابيع القليلة الماضية أثناء إجراء الاختبارات. كانت عمليات تسجيل الدخول المشفرة إلى liblzma، وهي جزء من مكتبة ضغط XZ، تستهلك قدرًا كبيرًا من وحدة المعالجة المركزية. كتب فرويند في Mastodon: لم تكشف أي من أدوات الأداء التي استخدمها عن أي شيء. أثار هذا الأمر شكوكه على الفور، وتذكر “شكوى غريبة” من أحد مستخدمي Postgres قبل بضعة أسابيع بشأن Valgrind، وهو برنامج Linux الذي يتحقق من أخطاء الذاكرة.

وبعد بعض التحقيقات، اكتشف فرويند في النهاية ما هو الخطأ. “لقد تم إغلاق مستودع xz وكرات القطران xz من الخلف”، كما أشار فرويند في بريده الإلكتروني. وكانت التعليمات البرمجية الضارة موجودة في الإصدارين 5.6.0 و5.6.1 من أدوات ومكتبات xz.

بعد فترة وجيزة، أرسلت شركة البرمجيات مفتوحة المصدر Red Hat تنبيهًا أمنيًا طارئًا لمستخدمي Fedora Rawhide وFedora Linux 40. وفي النهاية، خلصت الشركة إلى أن الإصدار التجريبي من Fedora Linux 40 يحتوي على نسختين متأثرتين من مكتبات xz. من المحتمل أن إصدارات Fedora Rawhide تلقت الإصدارات 5.6.0 أو 5.6.1 أيضًا.

يرجى التوقف فورًا عن استخدام أي من منتجات FEDORA RAWHIDE للعمل أو النشاط الشخصي. سيتم إرجاع Fedora Rawhide إلى xz-5.4.x قريبًا، وبمجرد الانتهاء من ذلك، يمكن إعادة نشر مثيلات Fedora Rawhide بأمان.

على الرغم من أن النسخة التجريبية من دبيان، وهي توزيعة لينكس المجانية، تحتوي على حزم مخترقة، إلا أن فريق الأمان الخاص بها تصرف بسرعة لإعادتها. كتب سلفاتوري بوناكورسو من دبيان في تنبيه أمني للمستخدمين مساء الجمعة: “في الوقت الحالي، لم تتأثر أي إصدارات مستقرة من دبيان”.

حدد فرويند لاحقًا الشخص الذي أرسل التعليمات البرمجية الضارة باعتباره واحدًا من اثنين من مطوري xz Utils الرئيسيين، المعروفين باسم JiaT75 أو Jia Tan. “بالنظر إلى النشاط الذي استمر لعدة أسابيع، يكون مرتكب الجريمة إما متورطًا بشكل مباشر أو كان هناك اختراق شديد لنظامهم. لسوء الحظ، يبدو أن التفسير الأخير هو التفسير الأقل ترجيحًا، نظرًا لأنهم أبلغوا في قوائم مختلفة حول “الإصلاحات” المذكورة أعلاه،” كتب فرويند في تحليله، بعد ربط العديد من الحلول التي تم إجراؤها بواسطة JiaT75.

كان اسم JiaT75 مألوفًا: فقد عملوا جنبًا إلى جنب مع المطور الأصلي لتنسيق الملفات ‎.xz، Lasse Collin، لفترة من الوقت. كما أشار المبرمج Russ Cox في مخططه الزمني، بدأ JiaT75 بإرسال تصحيحات تبدو مشروعة إلى القائمة البريدية لـ XZ في أكتوبر 2021.

تم الكشف عن أذرع أخرى للمخطط بعد بضعة أشهر، حيث بدأت هويتان أخريان، وهما جيجار كومار ودينيس إنس، في إرسال شكاوى عبر البريد الإلكتروني إلى كولين حول الأخطاء والتطور البطيء للمشروع. ومع ذلك، كما هو مذكور في تقارير إيفان بوهس وآخرين، لم يتم رؤية “كومار” و”إنس” خارج مجتمع XZ، مما دفع المحققين إلى الاعتقاد بأن كليهما مزيفان وُجدا فقط لمساعدة جيا تان في الوصول إلى موقع تسليم رمز الباب الخلفي.

رسالة بريد إلكتروني من “Jigar Kumar” تضغط على مطور XZ Utils للتخلي عن السيطرة على المشروع.
الصورة: لقطة شاشة من أرشيف البريد

“أنا آسف بشأن مشكلات صحتك العقلية، ولكن من المهم أن تكون على دراية بحدودك. “أدرك أن هذا مشروع هواية لجميع المساهمين، لكن المجتمع يرغب في المزيد”، كتب إنس في إحدى الرسائل، بينما قال كومار في رسالة أخرى: “لن يحدث التقدم حتى يكون هناك مشرف جديد”.

وفي خضم هذا الأمر ذهابًا وإيابًا، كتب كولينز: “لم أفقد الاهتمام ولكن قدرتي على الرعاية كانت محدودة إلى حد ما بسبب مشاكل الصحة العقلية طويلة الأمد ولكن أيضًا بسبب بعض الأشياء الأخرى”، واقترح أن تأخذ جيا تان على دور أكبر. واختتم قائلاً: “من الجيد أيضًا أن نضع في اعتبارنا أن هذا مشروع هواية غير مدفوعة الأجر”. استمرت رسائل البريد الإلكتروني من “كومار” و”إنس” حتى تمت إضافة تان كمشرف في وقت لاحق من ذلك العام، ليكون قادرًا على إجراء تعديلات ومحاولة إدخال الحزمة ذات الباب الخلفي إلى توزيعات Linux بمزيد من السلطة.

تعد حادثة الباب الخلفي xz وما أعقبها مثالاً على جمال المصدر المفتوح والثغرة الأمنية المذهلة في البنية التحتية للإنترنت.

وقد سلط أحد مطوري FFmpeg، وهي حزمة وسائط شعبية مفتوحة المصدر، الضوء على المشكلة في تغريدةقائلًا “لقد أظهر الفشل الذريع لـ xz كيف يمكن أن يسبب الاعتماد على المتطوعين غير مدفوعي الأجر مشاكل كبيرة. وتتوقع الشركات التي تبلغ قيمتها تريليون دولار دعماً مجانياً وعاجلاً من المتطوعين. وقد أحضروا إيصالات تشير إلى كيفية تعاملهم مع خطأ “ذو أولوية عالية” يؤثر على Microsoft Teams.

على الرغم من اعتماد مايكروسوفت على برمجياتها، كتب المطور: “بعد أن طلبت بأدب عقد دعم من مايكروسوفت للصيانة طويلة الأجل، عرضوا دفعة لمرة واحدة بقيمة بضعة آلاف من الدولارات بدلاً من ذلك… الاستثمارات في الصيانة والاستدامة غير جذابة وربما لن يحصل المدير الأوسط على ترقيته، بل سيدفع له ألف ضعف على مدى سنوات عديدة.

تم الكشف عن تفاصيل من يقف وراء “JiaT75″، وكيفية تنفيذ خطتهم، وحجم الضرر من قبل جيش من المطورين والمتخصصين في مجال الأمن السيبراني، سواء على وسائل التواصل الاجتماعي أو المنتديات عبر الإنترنت. ولكن هذا يحدث بدون دعم مالي مباشر من العديد من الشركات والمؤسسات التي تستفيد من القدرة على استخدام البرامج الآمنة.



اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *