O Linux, o sistema operacional de código aberto mais utilizado no mundo, escapou por pouco de um ataque cibernético massivo no fim de semana de Páscoa, tudo graças a um voluntário.
O backdoor foi inserido em um lançamento recente de um formato de compactação Linux chamado XZ Utils, uma ferramenta pouco conhecida fora do mundo Linux, mas usada em quase todas as distribuições Linux para compactar arquivos grandes, facilitando sua transferência. Se tivesse se espalhado de forma mais ampla, um número incontável de sistemas poderia ter ficado comprometido durante anos.
E como Ars Técnica observou em seu recapitulação exaustivao culpado estava trabalhando no projeto abertamente.
A vulnerabilidade, inserida no login remoto do Linux, expôs-se apenas a uma única chave, para que pudesse se esconder das varreduras de computadores públicos. Como Ben Thompson escreve em Estratégia. “a maioria dos computadores do mundo estaria vulnerável e ninguém saberia.”
A história da descoberta do backdoor XZ começa na madrugada de 29 de março como o desenvolvedor da Microsoft baseado em São Francisco Andres Freund postou no Mastodon e enviou um e-mail à lista de discussão de segurança do OpenWall com o título: “backdoor no upstream xz/liblzma levando ao comprometimento do servidor ssh”.
Freund, que é voluntário como “mantenedor” do PostgreSQL, um banco de dados baseado em Linux, percebeu algumas coisas estranhas nas últimas semanas enquanto executava testes. Logins criptografados para liblzma, parte da biblioteca de compactação XZ, estavam consumindo uma tonelada de CPU. Nenhuma das ferramentas de performance que ele usou revelou nada, escreveu Freund no Mastodon. Isso imediatamente o deixou desconfiado, e ele se lembrou de uma “queixa estranha” de um usuário do Postgres algumas semanas antes sobre o Valgrind, o programa do Linux que verifica erros de memória.
Depois de algumas investigações, Freund finalmente descobriu o que estava errado. “O repositório xz upstream e os tarballs xz foram backdoorados”, observou Freund em seu e-mail. O código malicioso estava nas versões 5.6.0 e 5.6.1 das ferramentas e bibliotecas xz.
Pouco depois, a empresa de software de código aberto Red Hat enviou um alerta de segurança de emergência para usuários do Fedora Rawhide e Fedora Linux 40. No final das contas, a empresa concluiu que a versão beta do Fedora Linux 40 continha duas versões afetadas das bibliotecas xz. As versões do Fedora Rawhide provavelmente também receberam as versões 5.6.0 ou 5.6.1.
PARE IMEDIATAMENTE O USO DE QUALQUER INSTÂNCIA FEDORA RAWHIDE para trabalho ou atividade pessoal. O Fedora Rawhide será revertido para xz-5.4.x em breve e, uma vez feito isso, as instâncias do Fedora Rawhide poderão ser reimplantadas com segurança.
Embora uma versão beta do Debian, a distribuição gratuita do Linux, contivesse pacotes comprometidos, sua equipe de segurança agiu rapidamente para revertê-los. “No momento, nenhuma versão estável do Debian foi afetada”, escreveu Salvatore Bonaccorso do Debian em um alerta de segurança aos usuários na noite de sexta-feira.
Mais tarde, Freund identificou a pessoa que enviou o código malicioso como um dos dois principais desenvolvedores do xz Utils, conhecido como JiaT75 ou Jia Tan. “Dada a atividade durante várias semanas, o committer está diretamente envolvido ou houve algum comprometimento bastante grave em seu sistema. Infelizmente, esta última parece ser a explicação menos provável, dado que foram comunicadas em várias listas sobre as “correções” mencionadas acima”, escreveu Freund em seu análisedepois de vincular várias soluções alternativas feitas pelo JiaT75.
JiaT75 era um nome familiar: eles trabalharam lado a lado com o desenvolvedor original do formato de arquivo .xz, Lasse Collin, por um tempo. Como observou o programador Russ Cox em seu Linha do tempoJiaT75 começou enviando patches aparentemente legítimos para a lista de discussão XZ em outubro de 2021.
Outros braços do esquema se desdobraram alguns meses depois quando duas outras identidades Jigar Kumar e Dennis Ens começou a enviar reclamações por e-mail para Collin sobre bugs e o lento desenvolvimento do projeto. No entanto, como observado em relatórios de Evan Boehs e outros, “Kumar” e “Ens” nunca foram vistos fora da comunidade XZ, levando os investigadores a acreditar que ambos são falsos que existiam apenas para ajudar Jia Tan a se posicionar para entregar o código backdoor.
“Lamento pelos seus problemas de saúde mental, mas é importante estar ciente dos seus próprios limites. Entendo que este é um projeto de hobby para todos os contribuidores, mas a comunidade deseja mais”, escreveu Ens em uma mensagem, enquanto Kumar disse em outra que “o progresso não acontecerá até que haja um novo mantenedor”.
No meio dessas idas e vindas, Collins escreveu que “não perdi o interesse, mas minha capacidade de cuidar tem sido bastante limitada, principalmente devido a problemas de saúde mental de longo prazo, mas também devido a algumas outras coisas”, e sugeriu que Jia Tan levaria em um papel maior. “Também é bom ter em mente que este é um projeto de hobby não remunerado”, concluiu. Os e-mails de “Kumar” e “Ens” continuaram até que Tan foi adicionado como mantenedor no final daquele ano, capaz de fazer alterações e tentar colocar o pacote backdoor em distribuições Linux com mais autoridade.
O incidente do backdoor xz e suas consequências são um exemplo tanto da beleza do código aberto quanto de uma vulnerabilidade impressionante na infraestrutura da Internet.
Um desenvolvedor por trás do FFmpeg, um popular pacote de mídia de código aberto, destacou o problema em um tweet, dizendo “O fiasco xz mostrou como a dependência de voluntários não remunerados pode causar grandes problemas. Corporações de trilhões de dólares esperam apoio gratuito e urgente de voluntários.” E trouxeram recibos, apontando como lidaram com um bug de “alta prioridade” que afetava o Microsoft Teams.
Apesar da dependência da Microsoft em seu software, o desenvolvedor escreve: “Depois de solicitar educadamente um contrato de suporte da Microsoft para manutenção de longo prazo, eles ofereceram um pagamento único de alguns milhares de dólares…os investimentos em manutenção e sustentabilidade não são atraentes e provavelmente não conseguirá a promoção de um gerente intermediário, mas pagará mil vezes mais ao longo de muitos anos.
Detalhes sobre quem está por trás do “JiaT75”, como executaram seu plano e a extensão dos danos estão sendo descobertos por um exército de desenvolvedores e profissionais de segurança cibernética, tanto nas redes sociais quanto em fóruns online. Mas isso acontece sem o apoio financeiro direto de muitas das empresas e organizações que se beneficiam da possibilidade de usar software seguro.