XZ saldırı kabuk betiği

xz saldırı kabuk betiği

• Andres Freund, 29 Mart 2024'te xz saldırısının varlığını açıkladı.
• Saldırı iki parçaya ayrılıyor: bir kabuk betiği ve bir nesne dosyası.
• Kabuk betiği, make sürecinde nesne dosyasını derlemeye ekliyor.
• Kötü amaçlı nesne dosyası ve kabuk kodu, "test girdileri" kılığına sokularak sıkıştırılmış ve şifrelenmiş şekilde ekleniyor.

Yapılandırma

• xz-utils, sisteme uygun derleme yöntemini belirlemek için GNU autoconf kullanıyor.
• Saldırgan, tarball dağıtımına beklenmedik bir destek kütüphanesi ekledi.
• Bu destek kütüphanesi kötü amaçlı kod içeriyor.

Yapılandırmaya yeniden bakış

• Saldırganın eklediği destek kütüphanesi, belirli desenleri arayıp ilgili dosyayı yapılandırıyor.
• Bu betik, kötü amaçlı dosyayı buluyor ve o dosyayı çalıştırarak kabuk kodunu enjekte ediyor.

Kabuk betiğinin çalıştırılması

• Kötü amaçlı kabuk betiği, yalnızca gerekli ortamlarda çalışmak için birden çok aşamalı kontrolden geçiyor.
• Betik, Makefile'a birden fazla satır ekleyerek derleme sürecine kötü amaçlı kod yerleştiriyor.

GN⁺'ın görüşü

• Bu saldırı, açık kaynak yazılımlardaki güvenlik zafiyetlerini ortaya koyuyor ve geliştiricilerin kod incelemesi ile güvenlik denetimlerinin önemini kavraması gerekiyor.
• Saldırı yöntemi, bir yazılım tedarik zinciri saldırısı örneği ve bu tür saldırıları önlemek için önlemler alınması gerekiyor.
• Bu yazı, geliştiricilere kabuk betikleri ile derleme sistemlerinin karmaşıklığını kötüye kullanan saldırı yöntemlerini göstererek farkındalık yaratabilir.
• Eleştirel bir bakışla, bu tür saldırılar açık kaynak projelerinin güvenilirliği konusunda soru işaretleri doğurabilir.
• İlgili alan bilgisinden yararlanarak bu yazı, yazılım geliştirme ve dağıtım süreçlerinde güvenlik kontrollerinin önemini vurguluyor.