تحذير: Backdoor في liblzma وأثره على SSH

تحذير لمستخدمي لينكس (Kali وغيرها): Backdoor في liblzma وتأثيره على SSH ​

في خبر مهم لمهندسين النِظام ومطوّري لينكس: تم اكتشاف Backdoor مرتبط بمكتبة الضغط liblzma/xz، والموضوع متصل بتأخير/تغيير بسيط في عملية التحقق عند تسجيل الدخول عبر SSH، وردّ الفعل خلاط. الرقم المرجعي اللي تم تداوله: CVE-2024-3094 (المعلومة اللي وصلت عن الثغرة كانت من تجارب وملاحظات تحليلية).

المشكلة إللي رُصِدت: تغيّر أو تأخير بسيط جدًا (أجزاء من الثانية - مِلي ثانية) في سلوك عملية المصادقة، لكن أثره خطير لأن المهاجم لو عرف يستغله ممكن يسبّب RCE عبر SSH في حالات معينة. البلاغ الأولي والإبلاغ جاي من باحث لاحظ سلوك غريب وقت عمل Benchmark لتسجيل الدخول عبر SSH مع/بدون مكتبة liblzma.

مين المتورط (ما نقدرش نحكم نهائيًا) ​

المعلومة اللي انتشرت تشير إلى اسم مستخدم أو هوية مستعارة مرتبطة بالمشروع (مذكور اسم "Jia Tan" أو jiat0218) ومن بعدها تبيّن تواصل على قوائم تطوير مشروع xz عبر أرشيف البريد. لكن التحقيق الكامل والمتابعة الرسمية مهمة لتأكيد كل التفاصيل والمسؤوليات - وما يصحش نلصق اتهامات نهائية من غير تحقق جهات رسمية.

مين المعرض للخطر؟ ومنين جت المشكلة؟ ​

• المستخدمين اللي حدَّثوا Kali أو توزيعات مبنية عليها خلال فترة محددة (ذكرت أنها بين 26 و29 - راجع تواريخ التحديث عندك).
• اللي نزلوا أو حدثوا من مصادر غير رسمية (third-party repos أو ملفات packages من مواقع مش موثوقة) - ممكن المصدر يكون ملوّث أو مُزوَّد بباك‌دور.
• الأنظمة اللي تستخدم نفس المكتبة liblzma/xz وملفات ضغط xz في عمليات التحقق أو ضمن سلاسل التوريد.

خطوات فورية للدفاع (أغلبها عملي وآمن) ​

حدّث النظام من المستودعات الرسمية فورًا​

sudo apt-get update && sudo apt-get upgrade

استخدم مستودعات التوزيعة الرسمية فقط (لا تستخدم مصادر غير موثوقة أو سطور sources.list مش مألوفة).

أعد تثبيت الحزم المتأثرة من المستودع الرسمي​

أعد تثبيت حزمة xz-utils و liblzma عبر مدير الحزم الرسمي عشان تتأكد إنك عندك نسخة نظيفة موقّعة من المصدر.

افصل الأنظمة الحساسة أو عزلها مؤقتًا إن أمكن​

لو عندك سيرفرات إنتاجية مُحْتَمَلة الاستهداف، فكّر في عزلها شبكيًا مؤقتًا أثناء التحقيق أو استخدام جدار حماية لخفض السطح المعرض.

راجع سجلات SSH وعمليات الدخول (logs) فورًا​

افحص /var/log/auth.log أو أي لوج مخصص لـ SSH بحثًا عن محاولات تسجيل دخول غريبة، أو أي أحداث تزامنت مع التحديثات الأخيرة.

دوّر على علامات استغلال أو نشاط غير طبيعي​

• عمليات غير متوقعة، أو ملفات تنفيذية جديدة في /usr/bin أو /usr/local/bin.
• اتصالات صادرة غير معتادة من الآلة إلى عناوين غريبة.
  لو لقيت حاجة مريبة بلّغ فورًا فريق الأمن أو مزود الخدمة.

دوّر وعدِّل مفاتيح SSH وكلمات المرور المهمة​

لو عندك شك قوي بوجود اختراق: غيّر مفاتيح الوصول (rotate keys)، وأعد إصدار شهادات ومفاتيح SSH للحسابات الحساسة، وربّما أعد إنشاء المفاتيح على جهاز آمن.

لا تحدث من مصادر غير رسمية ولا تبنى من سورسات مش موثوقة​

لو كنت حدثت Kali أو ثبتت حزماً من PPA/تارغيت خارجي، راجع sources.list وامسح أي خط غير رسمي، ثم أعد التحديث من المستودعات الرسمية فقط.

راجع قوائم التغيُّر والـ Changelogs الرسمية للمشروعات المعنية​

تابع إعلانات التوزيعات الرسمية ومشروعات xz وliblzma - لأنهم عادةً ينشروا تعليمات تداركية (patches) وتفاصيل CVE.

نصايح وقائية عامة للمستقبل ​

• دائماً استخدم مستودعات رسمية وتأكد من توقيع الحزم (package signatures).
• قلل من الاعتماد على حزم من مصادر خارجية إلا بعد فحص موثوق.
• فعّل مراقبة الأنظمة (IDS/EDR) لتكشف سلوكًا غير اعتيادي بسرعة.
• احتفظ بنُسخ احتياطية منفصلة ومؤمنة قبل أي تحديثات كبيرة.
• طبّق مبدأ الأقل صلاحية على خدمات SSH وقيّد الوصول عبر جدران حماية وقوائم تحكم.

لو اشتبهت إن جهازك مخترق - إيه تعمل؟ ​

1. افصل الجهاز من الشبكة فورًا (إذا أمكن) لتقليل انتشار أي استغلال.
2. احتفظ بنسخة من لوجّات النظام للطب الشرعي الرقمي (DFIR) - لا تمسّها.
3. بلغ فريق الأمن أو مزود الاستضافة، ولا تحاول "التعامل بنفسك" لو مش ملم بالتحقيق الجنائي الرقمي.
4. فكّر في إعادة تثبيت النظام من مصدر مُوثَّق بعد أخذ نسخ احتياطية آمنة للبيانات المهمة.

ما بين الحذر والتحديث السريع ​

الخبر مزعج لكن التصرّف السريع والمنهجي يفرق كتير: حدّث من المستودعات الرسمية، أعد تثبيت الحزم الحساسة، راجع السجلات، وغيّر المفاتيح لو في اشتباه. التحقيق الرسمي والمتابعة من مجتمعات التوزيعات ومطوّري xz هتوضّح الصورة أكتر وتطلع patches رسمية.