Phát hiện backdoor tiện ích mới khiến nhiều bản phân phối Linux dễ bị tấn công

Bạn có phải là người dùng Linux? Nếu vậy, bạn sẽ muốn lưu ý đến một vấn đề bảo mật ảnh hưởng đến rất nhiều bản phân phối Linux phổ biến nhất, như Arch, Debian, Fedora, v.v...

Backdoor XZ Utils là một vấn đề nghiêm trọng ảnh hưởng đến hàng triệu hệ thống Linux và đây là cách bạn có thể giữ an toàn cho phần cứng của mình.

Backdoor XZ Utils là gì?

XZ Utils là bộ tiện ích nén và giải nén file mã nguồn mở được triển khai rộng rãi trên các hệ thống Linux, tương tự như ZIP. Trước khi phát hiện ra backdoor, tiện ích này đã có danh tiếng tốt về tính hiệu quả trong cộng đồng Linux.

Backdoor trong XZ đã thu hút rất nhiều sự chú ý vì tính phổ biến của công cụ này và cách kẻ tấn công xâm nhập vào hệ sinh thái nguồn mở.

Cuộc tấn công bằng backdoor dường như là một cuộc chiến dài hơi, trong đó kẻ tấn công mất nhiều năm mới thực hiện được. Kẻ tấn công sử dụng tên "Jia Tan" nhưng không rõ danh tính thực sự, đã tiếp cận nhà phát triển ban đầu của XZ, Lasse Collin, đang chậm trễ trong việc cập nhật phần mềm. Theo Rob Mensching, Collin, vì lý do sức khỏe, cuối cùng đã nhường quyền bảo trì cho kẻ tấn công.

Kẻ tấn công bị nghi ngờ sau đó đã chèn backdoor để kết nối vào SSH, được sử dụng rộng rãi trên các hệ thống Linux để truy cập từ xa. Điều này có thể đã không được chú ý cho tới khi nhà phát triển Microsoft Andres Freund nhận thấy rằng SSH đang hoạt động kém hơn mức cần thiết. Sự cố bắt nguồn từ phiên bản 5.6.0 và 5.6.1.

Backdoor cho phép kẻ tấn công chiếm quyền điều khiển hệ thống từ xa và với tính phổ biến của XZ và SSH, điều này có thể dẫn đến một cuộc tấn công quy mô lớn. Sau khi phát hiện backdoor XZ, GitHub đã chấm dứt tài khoản của nhà phát triển chính và trang chủ của dự án cũng biến mất.

Thành công rõ ràng của kẻ tấn công trong việc che giấu dấu vết và sự tinh vi của việc đảm nhận vai trò một nhà phát triển nguồn mở đã dẫn đến suy đoán của các nhà nghiên cứu bảo mật rằng backdoor có thể do một quốc gia như Nga hoặc Trung Quốc gây ra, mặc dù theo Wired, vẫn chưa có bằng chứng xác thực nào.

Những bản phân phối Linux nào bị ảnh hưởng bởi backdoor XZ Utils?

Backdoor XZ chủ yếu nhắm vào các bản phân phối Red Hat và Debian/Ubuntu, vì đây là những bản phân phối được triển khai rộng rãi nhất trong các doanh nghiệp. Tuy nhiên, các bản phân phối bao gồm phần mềm mới hơn, chẳng hạn như Arch Linux, Gentoo, Fedora và những biến thể Testing và Unstable của Debian, bị ảnh hưởng nhiều nhất vì chúng có nhiều khả năng bao gồm các phiên bản bị ảnh hưởng của XZ.

Vì việc triển khai Linux của doanh nghiệp có xu hướng thiên về các bản phân phối ổn định nên hiện tại chúng dường như không bị ảnh hưởng. Debian cho biết phiên bản Stable, có sẵn để tải xuống từ trang web của họ theo mặc định, không bị ảnh hưởng. Red Hat Enterprise Linux và Ubuntu dường như cũng không bị ảnh hưởng.

Cách bảo vệ máy tính Linux khỏi backdoor XZ Utils

Cách tốt nhất để tự bảo vệ mình trong thời gian ngắn, bất kể bạn sử dụng bản phân phối nào, là luôn cập nhật nó thông qua tiện ích cập nhật của trình quản lý gói. Khi phát hiện backdoor XZ, các bản phân phối Linux đã nhanh chóng hành động, tung ra những bản cập nhật hệ thống để hạ cấp phiên bản XZ Utils được cài đặt trên hệ thống nếu cần thiết. Các bản phân phối tiên tiến như Arch cũng kêu gọi người dùng cập nhật càng sớm càng tốt.

Cuộc tấn công đặt ra những câu hỏi đáng lo ngại về việc quản lý các dự án nguồn mở. Giống như nhiều dự án nguồn mở khác, XX Utils là một phần mềm được sử dụng rộng rãi, do một nhà phát triển phi lợi nhuận duy trì. Một vấn đề tương tự đã dẫn đến lỗi Heartbleed ảnh hưởng đến OpenSSH vào năm 2014.

Các dự án như thế này là một thành phần của hầu hết những bản phân phối Linux và các dự án nguồn mở như vậy cũng phổ biến trong phần mềm thương mại. Nếu bạn kiểm tra phần "About" của nhiều chương trình phần mềm phổ biến, như Spotify hoặc Google Chrome, bạn sẽ thấy rằng chúng cũng sử dụng nhiều thành phần nguồn mở bên trong. XZ Utils được bao gồm trong Chrome.

Các nhà phát triển sử dụng những công cụ này vì chúng làm cho công việc của họ dễ dàng hơn nhiều (họ không phải viết mọi phần của chương trình từ đầu).

Trong tương lai, người dùng và công ty sẽ phải đánh giá lại mối quan hệ của họ với phần mềm nguồn mở mà họ dựa vào. Điều này có thể bao gồm từ việc kiểm tra chặt chẽ hơn các nhà phát triển nguồn mở cũng như tìm cách đền bù cho những nhà phát triển, như Rob Mensching gợi ý.

Gần như chắc chắn rằng sẽ có nhiều sự xem xét kỹ lưỡng hơn về sự phát triển nguồn mở sau cuộc tấn công này.