華為工程師提交的 Linux 補丁留有資安漏洞?一文解析大家是否真的需要擔心

華為近期引爆新資安爭議。華為向 Linux 開發社群提交資安程式碼補丁,結果越補資安漏洞越大?

開源資安團隊 Grsecurity 踢爆 華為工程師提交給 Linux 開發社群的資安程式碼補丁 HKSP(Huawei Kernel Self Protection)留有後門,引發軒然大波。

華為週一(5/11)即在官方網站發出公告,澄清 HKSP 並非官方發布資源、也未在華為的產品中使用。華為的迅速切割引起論壇譁然,在中美貿易戰的敏感時機點,各界紛紛質疑此事件是否背後有其他勢力介入。

華為資深工程師在 OpenWall 社群提交補丁

Linux 系統為開源的作業系統。開源是免費、任何人可取用的意思,作業系統則是最底層的硬體跟資源管理。Linux 包含兩個層次,核心(Kernel)與系統呼叫介面。尤其是核心,它是運作系統最重要的組件,直接跟 CPU 溝通。本次華為工程師提交的補丁,就是針對核心的部分進行修補。

在 Linux 的開源社群中,如果任何人發現系統上的問題,都可以在社群提供自己的論點與解方,結合群眾的力量糾錯、補救。若眾人對一致同意某個彌補無運行問題、無資安問題,則該補丁可加入下一次的更新中,提供給全世界使用 Linux 系統的企業或個人自由下載取用。

華為工程師週日(5/10)即在社群 Openwall 開源社群 提出針對 Linux 核心漏洞的補丁。然而隔日資安團隊團隊 Grsecurity 卻發現該補丁本身藏有另一個更大的漏洞,如果社群並未察覺,很可能讓全世界都下載到有後門的更新,讓全世界重要產業的資料陷入門戶大開的資安風險!

開源團隊抓到華為工程師補丁有缺陷

開源資安團隊 Grsecurity 的 報告 指出,HKSP 補丁本身「充滿漏洞跟弱點」、缺乏「威脅建模」(threat model,預期網路攻擊的過程),它的緩解效果,基本上無異於之前 LKRG(Linux Kernel Runtime Guard)補丁的效果。

Grsecurity 團隊指出,這份補丁缺乏了防禦性程序,這份程式碼將引入可輕易利用的漏洞(trivially exploitable vulnerability)。

詳細分析可看這份 報告

雖然團隊不確定提出補丁的行為是否是華為官方授意,或者這份程式碼已經用在華為產品上,但這份補丁使用的是「華為」的名字,且提交者的 Github 帳號中將「華為」作為帳號的機構名稱。

整件事情的爭議點在於「華為」兩字?

由於任何人都能提出補丁、且提出是屬於「貢獻、義務性質」的行為,正常來說沒有太多爭議點,但本次事件的重點,在於提供補丁的工程師來自華為最高階的資安團隊(Level 20)。

今年(2020)二月美國《華爾街日報》才 獨家報導 華為疑似協助中國政府透過電信行動網路設備開啟手機後門,監控各國行動網路超過十年,本次爆出相似事件,加上提出補丁者本身也不是初階的工程師,不見得會忽略明顯錯誤,因此引起外界浮想翩翩。

華為官方顯然也馬上意識到事件的嚴重性,在報導出來的隔天,馬上就發出 澄清文 表示該工程師提交的補丁「不代表華為立場」、「屬於個人與社群的技術探討行為」。華為此舉讓人各界質疑為「快速切割」,無助於提高信任感。

資安問題除了事前防堵、只能謹慎至上

由於 Linux 全免費開放全世界自由使用,因此全世界的科技巨頭如 Google、Amazon、Facebook,或者網路廠商 RedHat、IBM… 等等,都可能是此補丁的潛在受害者。

TechOrange 採訪業界資安專家,專家提醒,若各界不察下載了這次補丁,則「Linux 系統一開啟就運作,在有漏洞的情況下,馬上就會被外界入侵」。

但專家也補充說明,就像一般使用者不會輕易下載 iPhone 最新更新,可能會觀望一下「災情」;企業也是一樣,不會輕易更新本身的 Linux 系統,留待最穩定的時候再進行大幅更新。

參考資料:
Grsecurity 報導
華為官方 公告
ZDNet  Huawei denies involvement in buggy Linux kernel patch proposal

(本文提供合作夥伴轉載。)

你可能有興趣

三層面剖析「華為管理學」,狼性文化不是只有你想的那樣
中國駭客攻擊 Linux 伺服器,竊取知識產權長達 10 年沒被發現
【從死對頭到好朋友】微軟宣布新版 Windows 將採用 Linux 特製核心


多雲平台管理不易,找出資安威脅難上加難

IBM 解惑如何善用「開源技術」自動因應網路攻擊

獲取 IBM 獨家白皮書

點關鍵字看更多相關文章: