Główne pojęcia
XZ Utils에 숨겨진 백도어를 통해 원격 명령 실행이 가능하며, 이에 대한 다양한 완화 기술을 분석하였다.
Streszczenie
이 논문은 XZ Utils에 발견된 백도어 공격의 주요 단계를 분석하고, 이러한 유형의 공급망 공격을 완화할 수 있는 다양한 기술을 소개한다.
신뢰 구축 단계: 공격자는 2021년부터 XZ Utils 프로젝트에 기여하며 신뢰를 쌓았다.
준비 단계: 공격자는 2023년 Google OSS-Fuzz 프로젝트의 주요 연락처를 변경하고, GNU 간접 함수(IFUNC) 기능을 추가했다.
백도어 주입 단계: 2024년 2월 23일, 공격자는 악성 테스트 파일을 프로젝트에 추가했다.
배포 단계: 2024년 2월 24일, 공격자는 악성 소스 코드를 포함한 XZ Utils 5.6.0 버전을 릴리스했다.
악용 단계: 공격자는 OpenSSH의 RSA_public_decrypt 함수 포인터를 변경하여 원격 명령 실행이 가능했다.
이 공격에 대한 잠재적 완화 기술로는 오픈소스 프로젝트의 조직적 보안 강화, 기여자 신뢰성 검증, 투명성 로그 활용, 공급망 추적성 향상, 코드 샌드박싱, 법적 대응 등이 논의되었다.
Statystyki
공격자는 XZ Utils 프로젝트에 2021년부터 기여하며 신뢰를 쌓았다.
공격자는 2023년 Google OSS-Fuzz 프로젝트의 주요 연락처를 변경했다.
공격자는 2024년 2월 23일 악성 테스트 파일을 프로젝트에 추가했다.
공격자는 2024년 2월 24일 악성 소스 코드를 포함한 XZ Utils 5.6.0 버전을 릴리스했다.
공격자는 OpenSSH의 RSA_public_decrypt 함수 포인터를 변경하여 원격 명령 실행이 가능했다.
Cytaty
"Jia Tan" (presumably a pseudonym)이 2021년부터 XZ Utils 프로젝트에 기여하며 신뢰를 쌓았다.
Lasse Collin은 "Jia Tan이 프로젝트의 더 큰 역할을 하게 될 것"이라고 언급했다.
Google OSS-Fuzz의 보안 엔지니어 jonathanmetzman은 "프로젝트 유지 관리자가 OSS-Fuzz에서 테스트할 부분을 결정할 수 있다"고 설명했다.