Pada Maret 2024, komunitas keamanan siber diguncang dengan terungkapnya celah keamanan kritis dalam pustaka kompresi data XZ Utils, yang diberi kode CVE-2024-3094. Celah ini memungkinkan penyerang dengan kunci enkripsi tertentu untuk mendapatkan akses tidak sah ke sistem Linux dengan meretas mekanisme autentikasi SSH. Artikel ini akan mengulas kronologi, mekanisme serangan, dampak yang ditimbulkan, serta tanggapan komunitas terhadap insiden ini.
Kronologi Kejadian
Februari 2024:
- Versi 5.6.0 dan 5.6.1 XZ Utils dirilis dengan kode berbahaya yang disisipkan oleh akun bernama Jia Tan.
- Kode ini terdeteksi hanya dalam arsip rilis dan tidak ada dalam repositori utama GitHub proyek XZ Utils.
29 Maret 2024:
- Andres Freund, seorang software engineer Microsoft, menemukan adanya anomali pada kinerja SSH di sistem Debian Sid yang dikaitkan dengan pustaka
liblzmayang dimodifikasi. - Freund melaporkan temuannya kepada komunitas keamanan melalui milis Openwall, yang segera direspons oleh vendor besar seperti Red Hat dan Debian.
April 2024:
- Analisis mendalam menemukan bahwa penyusupan ini merupakan bagian dari kampanye jangka panjang yang dilakukan sejak 2021, dengan upaya perlahan untuk mengambil alih proyek XZ Utils.
- Paket yang terpengaruh segera diturunkan ke versi yang lebih aman oleh berbagai distribusi Linux.
Mekanisme Serangan
1. Eksploitasi Pustaka Kompresi:
- Backdoor memanfaatkan pustaka
liblzmayang biasa digunakan untuk proses kompresi data pada distribusi Linux. - Dalam kondisi tertentu, pustaka ini dapat dimuat oleh systemd, yang secara tidak langsung memengaruhi sshd.
2. Manipulasi Autentikasi SSH:
- Penyerang dapat menggunakan kunci kriptografi khusus untuk melewati autentikasi SSH dengan menyisipkan kode berbahaya dalam sertifikat SSH.
- Teknik yang digunakan melibatkan mekanisme Indirect Function (IFUNC) pada
glibcuntuk mengganti fungsiRSA_public_decryptdengan versi yang telah dimodifikasi.
3. Penyusupan Bertahap:
- Penyusupan dilakukan secara bertahap dengan menyisipkan perubahan dalam release tarball yang berbeda dari repositori kode sumber di GitHub.
- Penyerang menggunakan teknik sock puppet dengan akun-akun palsu untuk mendorong perubahan tersebut ke dalam proyek.
Dampak Serangan
1. Potensi Akses Tanpa Izin:
- Sistem yang menjalankan versi terpengaruh dapat dieksploitasi untuk akses jarak jauh tanpa izin oleh pihak yang memiliki kunci kriptografi tertentu.
2. Ancaman Terhadap Infrastruktur Kritis:
- Karena XZ Utils digunakan secara luas dalam berbagai distribusi Linux (Debian, Red Hat, Ubuntu, dll.), backdoor ini dapat membahayakan infrastruktur TI global.
3. Tingkat Keparahan:
- CVE-2024-3094 mendapatkan skor CVSS 10.0, menunjukkan tingkat keparahan tertinggi dalam kerentanan perangkat lunak.
Tanggapan dan Mitigasi
Langkah Mitigasi yang Diambil:
- Distribusi seperti Debian, Red Hat, dan Ubuntu segera menarik kembali paket yang terpengaruh dan mengembalikan ke versi sebelumnya yang aman.
- Proyek XZ Utils kembali diawasi dengan ketat, dan akun Jia Tan telah dicabut hak aksesnya dari proyek tersebut.
Tanggapan Komunitas:
- Kasus ini menyoroti perlunya pengawasan lebih ketat terhadap kontribusi pada proyek open-source.
- Para pakar menyarankan penggunaan transparansi kode sumber yang lebih tinggi dan pemeriksaan silang antara repositori git dengan release tarball.
Kesimpulan
XZ Utils Backdoor (CVE-2024-3094) menjadi pengingat penting tentang risiko serangan rantai pasokan (supply chain attacks) dalam perangkat lunak open-source. Kasus ini menekankan pentingnya pengawasan komunitas yang lebih ketat, audit keamanan yang berkelanjutan, dan kolaborasi global dalam menjaga keamanan infrastruktur TI yang mengandalkan perangkat lunak bebas.
Kasus ini menegaskan pentingnya prinsip trust but verify dalam dunia perangkat lunak terbuka.
Referensi
https://www.wired.com/story/xz-backdoor-everything-you-need-to-know
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
