Giriş
Arch Linux'un resmi güvenlik ekibi, Arch User Repository (AUR) sistemine yeni kullanıcı kayıtlarını geçici olarak askıya aldı. Bu karar, topluluk tarafından yönetilen AUR deposunda gerçekleşen büyük ölçekli bir tedarik zinciri saldırısı sonrasında alındı. Saldırganlar, 1.500'den fazla topluluk tarafından bakımı yapılan paketi ele geçirerek veya kötü amaçlı içerikler ekleyerek bilgi çalma araçları ve eBPF tabanlı rootkit'ler dağıtmaya başladı. Bu saldırı, AUR'un esnek yapısından kaynaklanan bir zafiyetin sonucuydu, ancak resmi çekirdek depolarının katı inceleme süreçleri sayesinde etkilenmediği belirtildi.
Saldırı Detayları ve Etkileri
Saldırı Mekanizması
AUR, Arch Linux kullanıcıları tarafından geliştirilen ve paylaşılan paketlerin barındırıldığı bir depodur. Bu depoda yer alan paketler, topluluk üyeleri tarafından yönetilmekte ve genellikle otomatik olarak yayınlanmaktadır. Saldırganlar, bu zafiyeti kullanarak:
- Mevcut paketlerin kimlik bilgilerini çalmak için phishing saldırıları düzenlemişlerdir.
- Yeni hesaplar oluşturmuş ve kötü amaçlı kod içeren paketler yüklemişlerdir.
- Paketlerin bağımlılıklarını manipüle ederek sistemlere rootkit'ler ve bilgi çalma araçları enjekte etmişlerdir.
- Özellikle eBPF (Extended Berkeley Packet Filter) tabanlı rootkit'ler kullanarak, saldırganlara sistem üzerinde gizli erişim sağlamışlardır.
Etkilenen Bileşenler
Aşağıdaki saldırı unsurları tespit edilmiştir:
- 1.500+ paket saldırıya uğradı ve kötü amaçlı içerikler barındırmaktaydı.
- Saldırganlar tarafından oluşturulan yeni hesaplar kullanılarak yayınlanan paketler de mevcuttu.
- Enfekte paketler, sistemde yetkisiz erişim sağlamak amacıyla tasarlanmıştı.
- Bilgi çalma araçları (örn. şifreler, anahtarlar, tarayıcı verileri) toplandı.
- eBPF rootkit'leri, sistem çağrıları ve ağ trafiğini gizlice izlemek için kullanıldı.
⚠️ Uyarı: Bu saldırı, AUR'un esnek yapısından kaynaklanmaktadır. Resmi Arch Linux depoları (core, extra, community), katı inceleme süreçleri nedeniyle etkilenmemiştir. Ancak, AUR'dan paket yükleyen kullanıcıların sistemleri risk altındadır.
Alınan Önlemler ve Geçici Çözümler
Arch Linux Tarafından Alınan Adımlar
Arch Linux güvenlik ekibi, saldırının boyutunu değerlendirdikten sonra aşağıdaki acil önlemleri uygulamıştır:
- AUR'a yeni kayıtların askıya alınması: 2024 yılının Haziran ayında, AUR sistemine yeni kullanıcı kayıtları geçici olarak durduruldu. Bu karar, saldırının yayılmasını önlemek amacıyla alındı.
- Kötü amaçlı paketlerin tespiti ve kaldırılması: Güvenlik ekibi, AUR deposunda yer alan tüm paketleri tarayarak enfekte olanları belirledi ve kaldırdı.
- Topluluk bildirimi: Kullanıcılar, sistemlerinde şüpheli aktiviteler olup olmadığını kontrol etmeleri konusunda uyarıldı.
- Güvenlik incelemesinin güçlendirilmesi: AUR paketlerinin yayınlanma süreci yeniden gözden geçirildi ve katı doğrulama adımları eklendi.
Kullanıcıların Alması Gereken Önlemler
AUR kullanıcıları, sistemlerini korumak için aşağıdaki adımları izlemelidir:
1. Sistem Kontrolleri
- Paket listesini kontrol edin:
pacman -QmBu komut, yerel olarak yüklenmiş AUR paketlerini listeler. Şüpheli paketleri araştırın.
- Son yüklenen paketleri inceleyin:
grep "installed" /var/log/pacman.log | grep -i aurSon yüklenen AUR paketlerini log dosyasından kontrol edin.
- Sistemde yetkisiz değişiklikler olup olmadığını kontrol edin:
sudo find / -type f -perm -4000 -o -perm -2000 2>/dev/nullSUID/SGID bitlerine sahip dosyaları arayın. Bu dosyalar, saldırganların sistemde kalıcı erişim sağlamasına yardımcı olabilir.
2. Güvenlik Yazılımları Kullanımı
- eBPF tabanlı izleme araçları kurun:
sudo pacman -S bpftrace bccBu araçlar, sistem çağrılarını ve ağ trafiğini izlemenize yardımcı olacaktır.
- Rootkit taraması yapın:
sudo rkhunter --checkRootkit tespit aracı olan
rkhunter'ı kullanarak sistemde gizlenmiş tehditleri bulun. - Güvenlik duvarı yapılandırın:
sudo ufw enableGelen ve giden trafiği kısıtlayarak ek koruma sağlayın.
3. Paket Yönetimi
- Yüklü paketleri güncelleyin:
sudo pacman -SyuTüm sistem paketlerini en son sürüme güncelleyin.
- Şüpheli AUR paketlerini kaldırın:
sudo pacman -RnsEnfekte olduğunu düşündüğünüz paketleri derhal kaldırın.
- AUR paketlerini manuel olarak derleyin:
Topluluk tarafından yayınlanan paketleri otomatik olarak yüklemek yerine, kaynak kodunu inceleyerek derleyin:
git clone https://aur.archlinux.org/.git cd makepkg -si
Saldırıdan Sonraki Süreç ve Gelecek Adımlar
Arch Linux'un Gelecek Planları
Arch Linux ekibi, saldırının ardından aşağıdaki iyileştirmeleri planlamaktadır:
- AUR inceleme sürecinin güçlendirilmesi: Paket yayınlama sürecine katı doğrulama adımları eklenmesi.
- Topluluk güvenliği için eğitimler: Kullanıcıları güvenlik en iyi uygulamaları konusunda bilgilendirmek.
- Otomatik tarama araçları: AUR paketlerini otomatik olarak tarayacak araçların geliştirilmesi.
- Yeni hesap kayıtlarının yeniden açılması: Güvenlik iyileştirmeleri tamamlandıktan sonra AUR'a yeni kayıtların yeniden açılması.
Kullanıcıların Dikkat Etmesi Gerekenler
💡 İpucu: AUR'dan paket yüklerken, paketin güvenilir kaynaklardan geldiğinden emin olun. Paket yayıncısının güvenilirliğini araştırın ve paketin kaynak kodunu inceleyin. Ayrıca, paketleri yüklemeden önce bağımlılıklarını kontrol edin.
SSS
Saldırıdan nasıl etkilendim?
Aşağıdaki durumlarda sisteminizin saldırıdan etkilenmiş olma olasılığı yüksektir:
- AUR'dan paket yüklediniz ve sistemde şüpheli aktiviteler gözlemliyorsunuz.
- Paketlerin kaynak kodunu incelemeden otomatik olarak yüklediniz.
- Sistemde rootkit veya bilgi çalma araçları tespit ettiniz.
AUR'a yeni kayıtlar ne zaman açılacak?
Arch Linux ekibi, güvenlik iyileştirmeleri tamamlandıktan sonra AUR'a yeni kayıtların yeniden açılacağını duyuracaktır. Bu süreçte, kullanıcıların sistemlerini korumak için yukarıda belirtilen adımları izlemeleri önemlidir.
Resmi Arch Linux depoları güvenli mi?
Evet, resmi Arch Linux depoları (core, extra, community), katı inceleme süreçleri nedeniyle saldırıdan etkilenmemiştir. Bu depoları kullanmaya devam edebilirsiniz.
