Бэкдор в xz/liblzma: компрометация SSH-сервера через цепочку поставок

Бэкдор в xz/liblzma: цепочка поставок под ударом

Не успели мы привыкнуть к мысли, что open-source — это безопасно, как очередной инцидент напоминает: доверяй, но проверяй. В библиотеке xz/liblzma, широко используемой для сжатия данных, обнаружен бэкдор, который позволяет злоумышленнику удалённо скомпрометировать SSH-сервер. Да, тот самый SSH, через который вы, скорее всего, заходите на свои серверы.

#### Что случилось?

Исследователи безопасности нашли вредоносный код в upstream-репозитории xz/liblzma. Бэкдор был внедрён через механизм автоматической сборки и распространялся вместе с легитимными версиями библиотеки. При определённых условиях злоумышленник мог получить полный контроль над SSH-сервером, используя уязвимость в liblzma.

#### Кто в зоне риска?

Под ударом оказались все системы, использующие уязвимые версии xz/liblzma. Особенно это критично для дистрибутивов Linux, где библиотека входит в базовый набор. Если вы обновляли систему в период с февраля по март 2024 года — стоит проверить версию.

#### Что делать?

1. Обновите xz/liblzma до последней исправленной версии. 2. Проверьте логи SSH на подозрительную активность. 3. Пересмотрите политику цепочки поставок — даже проверенные компоненты могут быть скомпрометированы.

Комментарий студии METABYTE: Этот инцидент — отличный повод задуматься о безопасности цепочки поставок. Мы всегда рекомендуем клиентам внедрять автоматическое сканирование зависимостей и регулярно аудировать используемые библиотеки. Ваш код может быть идеальным, но если одна из зависимостей «заминирована» — вся крепость падет.