كيف أوقف أحد المتطوعين بابًا خلفيًا من كشف أنظمة Linux في جميع أنحاء العالم

نجا Linux، وهو نظام التشغيل مفتوح المصدر الأكثر استخدامًا في العالم، بأعجوبة من هجوم إلكتروني ضخم خلال عطلة عيد الفصح، وكل ذلك بفضل متطوع واحد.

تم إدراج الباب الخلفي في إصدار حديث لتنسيق ضغط Linux يسمى XZ Utils، وهي أداة غير معروفة خارج عالم Linux ولكنها تُستخدم في كل توزيعات Linux تقريبًا لضغط الملفات الكبيرة، مما يسهل نقلها. ولو كان الفيروس قد انتشر على نطاق أوسع، لكان من الممكن أن يظل عدد لا يحصى من الأنظمة عرضة للخطر لسنوات.

و كما آرس تكنيكا لاحظت في خلاصة شاملة، كان الجاني يعمل في المشروع في العلن.

ولم تكشف الثغرة الأمنية، التي تم إدخالها في تسجيل الدخول عن بعد لنظام التشغيل Linux، عن نفسها إلا لمفتاح واحد، حتى تتمكن من الاختباء من عمليات فحص أجهزة الكمبيوتر العامة. مثل بن طومسون يكتب في ستراتشري. “ستكون غالبية أجهزة الكمبيوتر في العالم معرضة للخطر ولن يعلم أحد”.

تبدأ قصة اكتشاف الباب الخلفي XZ في الصباح الباكر من يوم 29 مارس، كما نشر مطور Microsoft ومقره سان فرانسيسكو أندريس فرويند على Mastodon و أرسلت بريدا إلكترونيا إلى القائمة البريدية الأمنية لـ OpenWall بعنوان: “الباب الخلفي في المنبع xz/liblzma يؤدي إلى اختراق خادم ssh.”

لاحظ فرويند، الذي تطوع بصفته “مشرفًا” في PostgreSQL، وهي قاعدة بيانات قائمة على Linux، بعض الأشياء الغريبة خلال الأسابيع القليلة الماضية أثناء إجراء الاختبارات. كانت عمليات تسجيل الدخول المشفرة إلى liblzma، وهي جزء من مكتبة ضغط XZ، تستهلك قدرًا كبيرًا من وحدة المعالجة المركزية. كتب فرويند في Mastodon: لم تكشف أي من أدوات الأداء التي استخدمها عن أي شيء. أثار هذا الأمر شكوكه على الفور، وتذكر “شكوى غريبة” من أحد مستخدمي Postgres قبل بضعة أسابيع بشأن Valgrind، وهو برنامج Linux الذي يتحقق من أخطاء الذاكرة.

وبعد بعض التحقيقات، اكتشف فرويند في النهاية ما هو الخطأ. “لقد تم إغلاق مستودع xz وكرات القطران xz من الخلف”، كما أشار فرويند في بريده الإلكتروني. وكانت التعليمات البرمجية الضارة موجودة في الإصدارين 5.6.0 و5.6.1 من أدوات ومكتبات xz.

بعد فترة وجيزة، أرسلت شركة البرمجيات مفتوحة المصدر Red Hat رسالة تنبيه أمني في حالات الطوارئ لمستخدمي Fedora Rawhide وFedora Linux 40. وفي النهاية، خلصت الشركة إلى أن الإصدار التجريبي من Fedora Linux 40 يحتوي على نسختين متأثرتين من مكتبات xz. من المحتمل أن إصدارات Fedora Rawhide تلقت الإصدارات 5.6.0 أو 5.6.1 أيضًا.

يرجى التوقف فورًا عن استخدام أي من منتجات FEDORA RAWHIDE للعمل أو النشاط الشخصي. سيتم إرجاع Fedora Rawhide إلى xz-5.4.x قريبًا، وبمجرد الانتهاء من ذلك، يمكن إعادة نشر مثيلات Fedora Rawhide بأمان.

على الرغم من أن النسخة التجريبية من دبيان، إلا أن توزيعة Linux المجانية، تحتوي على حزم مخترقة من قبل فريق الأمان الخاص بها تصرفت بسرعة للرجوع إليهم. كتب سلفاتوري بوناكورسو من دبيان في تنبيه أمني للمستخدمين مساء الجمعة: “في الوقت الحالي، لم تتأثر أي إصدارات مستقرة من دبيان”.

حدد فرويند لاحقًا الشخص الذي أرسل التعليمات البرمجية الضارة باعتباره واحدًا من اثنين من مطوري xz Utils الرئيسيين، المعروفين باسم JiaT75 أو Jia Tan. “بالنظر إلى النشاط الذي استمر لعدة أسابيع، يكون مرتكب الجريمة إما متورطًا بشكل مباشر أو كان هناك اختراق شديد لنظامهم. ولسوء الحظ يبدو أن التفسير الأخير هو التفسير الأقل احتمالا، نظرا لأنهم تحدثوا في قوائم مختلفة عن “الإصلاحات” المذكورة أعلاه، كما كتب فرويند في كتابه. تحليل، بعد ربط العديد من الحلول التي تم إجراؤها بواسطة JiaT75.

كان اسم JiaT75 مألوفًا: فقد عملوا جنبًا إلى جنب مع المطور الأصلي لتنسيق الملفات ‎.xz، Lasse Collin، لفترة من الوقت. كما أشار المبرمج روس كوكس في كتابه الجدول الزمني، بدأ JiaT75 بإرسال تصحيحات تبدو مشروعة إلى القائمة البريدية لـ XZ في أكتوبر 2021.

وكشفت أذرع أخرى للمخطط بعد بضعة أشهر، حيث قامت هويتان أخريان، هما جيجار كومار ودينيس إنس، بدأ إرسال الشكاوى عبر البريد الإلكتروني لكولين حول الأخطاء والتطور البطيء للمشروع. ومع ذلك، كما أشار في تقارير إيفان بوهس وآخرون، “كومار” و”إنس” لم يتم رؤيتهم مطلقًا خارج مجتمع XZ، مما دفع المحققين إلى الاعتقاد بأن كلاهما مزيفان وُجدا فقط لمساعدة جيا تان في الوصول إلى موقعه لتسليم رمز الباب الخلفي.

“أنا آسف بشأن مشكلات صحتك العقلية، ولكن من المهم أن تكون على دراية بحدودك. “أدرك أن هذا مشروع هواية لجميع المساهمين، لكن المجتمع يرغب في المزيد”، كتب إنس في إحدى الرسائل، بينما قال كومار في رسالة أخرى: “لن يحدث التقدم حتى يكون هناك مشرف جديد”.

وفي خضم هذا الأمر ذهابًا وإيابًا، كتب كولينز: “لم أفقد الاهتمام ولكن قدرتي على الرعاية كانت محدودة إلى حد ما بسبب مشاكل الصحة العقلية طويلة الأمد ولكن أيضًا بسبب بعض الأشياء الأخرى”، واقترح أن تأخذ جيا تان على دور أكبر. واختتم قائلاً: “من الجيد أيضًا أن نضع في اعتبارنا أن هذا مشروع هواية غير مدفوعة الأجر”. استمرت رسائل البريد الإلكتروني من “كومار” و”إنس” حتى تمت إضافة تان كمشرف في وقت لاحق من ذلك العام، ليكون قادرًا على إجراء تعديلات ومحاولة إدخال الحزمة ذات الباب الخلفي إلى توزيعات Linux بمزيد من السلطة.

تعد حادثة الباب الخلفي xz وما أعقبها مثالاً على جمال المصدر المفتوح والثغرة الأمنية المذهلة في البنية التحتية للإنترنت.

وقد سلط أحد مطوري FFmpeg، وهي حزمة وسائط شعبية مفتوحة المصدر، الضوء على المشكلة في تغريدةقائلًا “لقد أظهر الفشل الذريع لـ xz كيف يمكن أن يسبب الاعتماد على المتطوعين غير مدفوعي الأجر مشاكل كبيرة. وتتوقع الشركات التي تبلغ قيمتها تريليون دولار دعماً مجانياً وعاجلاً من المتطوعين. وقد أحضروا إيصالات تشير إلى كيفية تعاملهم مع خطأ “ذو أولوية عالية” يؤثر على Microsoft Teams.

على الرغم من اعتماد مايكروسوفت على برمجياتها، كتب المطور: “بعد أن طلبت بأدب عقد دعم من مايكروسوفت للصيانة طويلة المدى، عرضوا دفعة لمرة واحدة بقيمة بضعة آلاف من الدولارات بدلاً من ذلك… الاستثمارات في الصيانة والاستدامة غير جذابة وربما لن يحصل المدير الأوسط على ترقيته، بل سيدفع له ألف ضعف على مدى سنوات عديدة.

تم الكشف عن تفاصيل من يقف وراء “JiaT75″، وكيفية تنفيذ خطتهم، وحجم الضرر من قبل جيش من المطورين والمتخصصين في مجال الأمن السيبراني، سواء على وسائل التواصل الاجتماعي أو المنتديات عبر الإنترنت. ولكن هذا يحدث بدون دعم مالي مباشر من العديد من الشركات والمؤسسات التي تستفيد من القدرة على استخدام البرامج الآمنة.