Операционная система Linux славится своей достаточно высокой защищённостью. Однако, как оказалось, Linux стояла на пороге огромнейшей проблемы с уязвимостью, которую хотели внедрить в систему весьма хитроумным способом.
Проблему совсем случайно обнаружил исследователь Microsoft Андрес Фройнд (Andres Freund). Он проводил рутинное микротестирование, когда заметил небольшую задержку в 500 мс в процессах ssh. Кроме того, процессы использовали необъяснимо много ресурсов CPU. Дальнейшие исследования позволили обнаружить вредоносный бэкдор в инструменте сжатия, который проник в широко используемые дистрибутивы Linux, в том числе Red Hat и Debian.
Речь о довольно известной в этих кругах программе xz Utils, которая существует уже около 15 лет. В версиях 5.6.0 и 5.6.1 ПО содержит вредоносный код. Суть в том, что xz Utils представляет собой приложение для сжатия данных для Unix-подобных операционных систем и Windows, и многие популярные дистрибутивы, включая Debian и Ubuntu, Fedora, Slackware, Arch Linux, включают в себя xz Utils. То есть бэкдор в xz Utils автоматически означает уязвимость миллионов ПК, работающих под управлением вышеуказанных дистрибутивов.
К счастью, проблему обнаружили раньше, чем она успела попасть в финальные выпуски для основных дистрибутивов Linux, но как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали по крайней мере одну из версий с бэкдором. Red Hat выявила уязвимые пакеты в Fedora 41 и Fedora Rawhide и посоветовала пользователям прекратить использование до тех пор, пока не будет доступно обновление, хотя Red Hat Enterprise Linux (RHEL) остается незатронутым.
Сооснователь Cal.com написал в социальной сети X следующее:
Сегодня я пытался объяснить своим друзьям, не связанным с технологиями, что инженер, отладивший задержку в 500 мс, спас всю сеть, а возможно, и всю цивилизацию
Старший аналитик Analygence Уилл Дорманн (Will Dormann) заявил, что «если бы это не было обнаружено, это было бы катастрофой для мира».
На Habr есть статья как с разъяснением подробностей о самом бэкдоре, так и с разбором того, кто может за всем этим стоять. Предположительно, разработчик xz Utils отношения к ситуации не имеет, а злоумышленникам якобы пришлось два года втираться в доверие сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код.