openssh ile ilgili xz-utils arka kapısı hakkında (CVE-2024-3094)

Hikaye uzun. Uzun lafın kısası, bir Microsoft yazılımcısı, Andres Freund, OSS-Security'ye bulduğu arka kapı ile ilgili bir eposta gönderiyor ve olay patlıyor.

Benim için önemli olan etkilenen sistemler nasıl tespit edilmeli, hangi sürümlerden korunmalı.

xz-utils paketinin sürümlerine bakmak gerek.

xz --version

ile sürüm kontrolü yapılabilir. 5.6.0 ve 5.6.1 sürümleri kaçınılması gereken sürümler. Ayrıca Debian türevlerinde:

apt list installd xz-utils

Fedora türevlerinde

rpm -q xz

ile sürüm numaraları bulunup yükseltilebilir.

Çevremdeki kurulumlardan birinde 5.6.1'e rastladım:

xz --version ile görüntülenen sürüm numarası 5.6.1 olmasına rağmen asıl sürüm numaram 5.6.1-2, ki bu da arka kapıya karşı yamalanış sürüm. Sonraki satırda pacman -Q xz ile bunu doğruladım. Benim xz güncellemelerim nasıl olmuş diye bakmak istedim:

grep "xz " /var/log/pacman.log

çıktı şöyle oldu:

[2024-03-09T23:57:14+0300] [ALPM] upgraded lib32-xz (5.4.6-1 -> 5.6.0-1)
[2024-03-31T01:08:10+0300] [ALPM] upgraded xz (5.6.0-1 -> 5.6.1-2)
[2024-03-31T01:08:13+0300] [ALPM] upgraded lib32-xz (5.6.0-1 -> 5.6.1-2)

Demek ki Manjaro, 31 Mart'ta yamayı yayınlamış. Debian ve Fedora ana dağıtımlar sorunlu paketleri depolarına dahil etmediği için hala güvenli olarak görüldüler. Ancak "bleeding edge" olarak nitelenen "rolling distro"lar için çok olumlu nitelendirmeler kullanılmadı. Rolling distro deyince de ilk akla gelen Arch Linux. Ama şu sayfada denmiş ki; Arch Linux xz paketini openssh ile ilişkilendirmediği için Arch Linux bu saldırıdan etkilenmemiş.

Eğer sistemdeki sürümü eski sürüme downgrade etmek isteseydim /var/cache/pacman/pkg altındaki paket önbelleğindeki sürümleri kullanabilirdim:

sudo pacman -U /var/cache/pacman/pkg/xz-5.4.4-1-x86_64.pkg.tar.zst

Bundan sonra bu paketin kontrolsüz olarak güncellenmesini engellemek için ise /etc/pacman.conf dosyasına şu satırı eklemem gerekecekti:

IgnorePkg = xz

Alternatif olarak manjaro-downgrade paketi ile bu işin otomatize edilmesi de anlatılmış, ama sisteme bir paket daha kurmak istemedi canım, nedense.

---
https://www.openwall.com/lists/oss-security/2024/03/29/4

https://archlinux.org/news/the-xz-package-has-been-backdoored/

https://wiki.manjaro.org/index.php?title=Downgrading_packages 

https://snyk.io/blog/the-xz-backdoor-cve-2024-3094/

https://www.logpoint.com/en/blog/emerging-threats/xz-utils-backdoor/#
https://www.reddit.com/r/linux/comments/1bqt999/backdoor_in_upstream_xzliblzma_leading_to_ssh/
https://www.youtube.com/watch?v=0pT-dWpmwhA

https://forum.manjaro.org/t/xz-package-contains-a-vulnerability/159028/20

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

https://www.wired.com/story/jia-tan-xz-backdoor/

WannaCry

2016 yılında Shadow Brokers adında bir hacker grubu, NSA tarafından kullanıldığı iddia edilen bazı araçları yayınladı. Bu araçların arasında birçok işletim sistemine ait sıfırıncı gün (zero day) açıklarından faydalanan bazı "faydalı" programlar vardı. Söylenene göre NSA, bu araçların kendilerine ait olduğun yalanlamadı. NSA'in bu araçları kullanarak dünyadaki bütün bilgisayarlar, mobil cihazlar ve hatta televizyonlara girebildiği, hedeflediği kişileri izleyebildiği ve bilgi topladığı iddia edildi.

Yayınlanan araçların içinde dikkat çeken bir araç olan EternalBlue, SMBv1 protokolündeki bir açıktan faydalanıyordu. 2017 yılında bu açığı kullanarak WannaCry kötücül (malicious) yazılımı dünya çapında yüzbinlerce bilgisayara bulaştı. Dosyalar şifrelendi, sistemler çalışmaz hale geldi. Şifrelenen verilerin tekrar ulaşılabilir olması için fidye ödenmesi istendi. Bazıları fidye öderken diğerleri verilerini kaybetti. Bankacılık, sağlık ve ulaşım sektöründe büyüklar yaşandı. Sonrasında NotPetya adındaki bir kötücül yazılım da EternalBlue'yu kullandı. Sonradan bu araçların NSA tarafından orta doğudaki bankacılık sistemleri üzerinde kullandığına dair bazı bilgiler yayınlandı [7].

İlginçtir, Microsoft NSA'i sözkonusu sıfırıncı gün açıklarını 5 yıldır kullandığı ve bildirmediği için suçladı. Ya da biz öyle anladık. Sonrasında bu açıklar yayınlanan bazı yamalarla kapatıldı [8]. O günlerden sonra SMBv1 kullanımı önerilmedi. Ama olanlar olmuştu.

O dönemde Shadow Brokers'ın yayınladığı araçlardan bazıları:

• EternalBlue: SMB protokolündeki bir zafiyeti hedef alan bir araç
  
• EternalChampion: SMB protokolünde EternalBlue'dan farklı bir zafiyeti hedef alan bir araç
  
• EternalRomance: Bu da SMBv1 protokolündeki bir zafiyeti hedef alan bir araç
  
• EternalSynergy: Çok ilginç, bu da SMB protokolündeki bir açığı kullanıyor
  
• DoublePulsar: Sistemlerde arka kapı oluşturmaya yarayan bir araç
  
• ExplodingCan: IIS'i hedef alan bir araç
  
• EnglishmanDentist: Microsoft Exchange Server'ı hedef alan bir araç
  
• EsteemAudit: Eski Windows sürümlerindeki RDP protokolünü hedef alan bir araç
• EducatedScholar: Oracle veritabanı sunucularını hedef alan bir araç
• ErraticGopher: Belirli Windows sürümlerindeki Telnet protokolünü hedef alan bir araç
  

Mart 2017 gibi Wikileaks'te Vault 7 adında bu sefer CIA'e ait olduğu iddia edilen başka diğer araçlar (Weeping Angel, Marble Framework gibi) yayınlandı. Bu araçları daha sonra başkaca siber hareketlerin bir parçası olarak görmedik, şükür.

---

[1] https://news.slashdot.org/story/16/10/20/1926222/prosecutors-say-contractor-stole-50-terabytes-of-nsa-data

[2] https://money.cnn.com/2017/04/14/technology/windows-exploits-shadow-brokers/index.html

[3] https://www.wired.com/2016/08/shadow-brokers-mess-happens-nsa-hoards-zero-days/ 

[4] https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/ 

[5] https://yro.slashdot.org/story/17/04/17/1416228/microsoft-says-previous-windows-patches-fixed-newly-leaked-nsa-exploits 

[6] https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/

[7] https://www.wired.com/2017/04/major-leak-suggests-nsa-deep-middle-east-banking-system/ 

[8] https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/shadow-brokers-leaks-hacking-tools-what-it-means-for-enterprises 

Bugüne kadar görülmüş en büyük siber saldırının hedefi: Spamhaus

Çeşitli kaynakların [1, 2, 3] bildirdiğine göre son 10 günlük dönemde gerçekleşen DDoS saldırılarılarının ölçeği şimdiye kadar görülenlerden çok büyük. Saldırının hedefinde Spamhaus var. Spamhaus, şu yazımda bahsettiğim gibi, spam olarak adlandırılan ve istenmeyen mesajların alıcı tarafından engellenmesini sağlayan bir organizasyonun ismi.

Saldırı o kadar büyük ki, spamhaus gibi bir sürekli saldırıların hedefinde olan bir organizasyon böyle bir trafik karşısında çaresiz kalıp bu konuda uzman olan CloudFlare firmasından yardım istemiş. Saldırının büyüklüğü hakkında telaffuz edilen rakamlar saniyede 300 gigabit!

BBC'nin haberine göre Spamhaus, Cyberbunker adlı sitenin ayağına basmış. Cyberbunker da bu duruma bozulup tüm silahlarını Spamhaus'a çevirmiş. Spamhaus'un CloudFlare'den yardım istemesinin ardından siteye yönlenmiş DDoS saldırıları defedilmiş. Ancak bundan sonra taktik değiştiren saldırganlar CloudFlare'in hizmet aldığı diğer hizmet sağlayıcıları hedef almaya başlamışlar. Bu durum sonunda Tier-1 bağlantıları sağlayıcıları ağlarındaki trafiği engelleyememişler. CloudFlare'in blog'unda bahsettiğine göre bu noktadan sonra saldırı artık sadece Spamhaus'u etkilemekten çıkıp Avrupa başta olmak üzere tüm dünyanın internet trafiğini etkiler hale gelmiş.

Başlangıçta yansıtılmış DNS saldırısı denen bir yöntemle Spamhaus hedef alınmış. Kaynağı değiştirilmiş (spoofed) çok sayıda DNS sorguları kullanılmış. Hedef sunucular küçük boyutlu gelen DNS sorgu isteklerine çok büyük cevaplar vermek zorunda kalınca ortaya katlanarak büyüyen bir trafik çıkmış. Ayrıca saldırıyı yapan sunucular, DNS sorguların sonuçlarıyla ilgilenmedikleri için sorguyu başka gerçek sunucular yapmış gibi göstermişler. Doğal olarak cevap da bu sunuculara dönülmüş. Bu durumda bazı servis sağlayıcı saldırıların kaynağının Spamhaus olduğunu düşünmüş :)

Uzmanlar, çok daha büyük benzer saldırıların yakın gelecekte muhtemel olduğunu söylüyor. DDoS gibi saldırıları engellemenin kolay bir yolu olmadığı, internet sağlayıcıların bu konuda bir girişimde bulunması gerektiği söyleniyor.

Son birkaç gündür çok yaygın olarak internette sebepsiz bir yavaşlamadan şikayetçiyseniz sebebi buymuş işte.

Tespitin zorluğu

Siber-tehditler gün geçtikçe daha da karmaşlıklaşıyor. Tespit edilmeleri zorlaşıyor. Eskiden antivirüs yazılımları sadece imzaya dayalı tarama teknikleri kullanırlardı. Şimdi daha tanınmamış olan virüsleri de bulabilmek için yeni teknikler kullanmaya başladılar.

Elbette hiçbir antivirüs yazılımı mükemmel değil. Bir süre öncesine kadar antivirüs yazılımlarının tespit edemediği virüsleri Sysinternals'ın araçları gibi programlar kullanarak tespit etmenin mümkün olduğunu düşünürdüm. Artık fikrim değişti.

Bir dosyanın "şüpheli" sınıfına girebilmesi için birkaç koşul vardır (ya da eskiden vardı):

1. Dosya adı. Dosya adı saçma sapan karakterlerden oluşmuşsa bu birinci sırada dikkat çeken bir özellik olurdu. Bu sebeple birçok zararlı kod dosyalarının isimlerini sistem dosyalarının isimlerine benzetmeye, veya doğrudan onların isimlerini vermeye yönelmişti. Örneğin svchost.exe gibi. %systemroot%\system32 klasörünün haricinde bir konumda karşılaşılan svchost.exe dosyası bir numaralı zanlı olurdu.
2. Üretici bilgisi ve dosya tanımı. 16 bitlik çalıştırılabilir dosyalar hariç diğer çalıştırılabilir dosyalarda bir metadata bilgisi yer alır. Burada dosyanın üreticisi ve dosyanın adının haricinde bir de dosyanın tanımı yer alır. Bu bilgiler de bir fikir verirdi. Sistemdeki bir donanımın sürücüsünün mü, antivirüs yazılımının mı olduğu hakkında bir yol gösterirdi. Daha sonra geçerli bir dosya olup olmadığını anlamak kolaylaşırdı.
3. Sayısal imza. Yukarıdaki yöntemleri sıradan bir kötü amaçlı programcı bile kendi kötü amaçlı yazılımına uygulayabilirdi. Bunun için sayısal imza diye bir konu vardı. Üreticiler sürücülerini imzalar, veya çalıştırılabilir dosyalarının da kendileri tarafından üretildiğini kanıtlamak için sayısal imza kullanırlardı.

Ancak yeni tehditler artık bu yöntemlerin ne kadar cılız kaldığını gösterdi. Örneğin bir süre önce Mark Russinovich'in blog'unda incelediği Stuxnet virüsü.

Bulaşma yöntemi mükemmel. Windows 7'de bile var olan bir açığı kullanarak USB sürücüler üzerinden bulaşıyor (ki bu açık Ağustos 2010'da KB2286198 yamasıyla kapanmış). Bilgisayarınıza taktığınız USB sürücüde gayet zararsız gibi görünen birkaç dosya var. Bunlardan birisi bir kısayol. Ama kısayolun ikonu yok. Windows Explorer ikonu okumak için işaret edilen dosyaları okumaya çalışınca Windows'un açığını kullanarak virüs sisteme bulaşıyor. Bundan sonra da bu dosyalar rootkit teknikleriyle gizleniyor.

Sisteme bulaşan bileşen ise MRxNet.exe ismiyle Windows klasörüne kopyalanıyor. Virüs bunu gizleme zahmetine girmemiş. Daha iyisini yapıp bunu bir donanımın sürücüsü gibi göstermiş. Üstelik bunu Realtek ve JMicron gibi donanım üreticilerinin sertifikalarını kullanarak yapmış. Kullanılan sertifikaların çalındığı ve dağıtan şirket tarafından farkedildikten sonra iptal edildiği belirtilmiş.

Mark Russinovich, yazılarında (1,2,3) ayrıntılı olarak bulaşma adımlarını inceleyerek tespit edilebilirliğini göstermiş, ama bu yöntemler gayet ileri seviye yöntemler.

Sonuçta Stuxnet'in İsrail hükümetinin desteklediği bir proje kapsamında geliştirildiği ve gayet açık bir şekilde İran'daki santrallerde kullanılan Siemens marka ürünleri hedef aldığı yönünde spekülasyon ötesi bazı iddialar var. Bu önemli değil. Önemli olan yeteri kadar güçlü motivasyonla nelerin yapılabiliyor olduğu. Artık korkmak lazım.

2024-09-09: Video