CVE-2024-3094 Vulnerability (XZ Backdoor)
Analistas de segurança descobriram recentemente uma vulnerabilidade crítica com repercussões potencialmente devastadoras. De acordo com um comunicado de segurança urgente, duas iterações da ferramenta de compressão de dados amplamente utilizada, XZ Utils (anteriormente conhecida como LZMA Utils), foram comprometidas com código malicioso. Este código permite acesso remoto não autorizado aos sistemas afetados.
Esta violação de segurança, identificada como CVE-2024-3094, é classificada com uma pontuação CVSS de 10,0, significando o mais alto nível de gravidade. Afeta as versões 5.6.0 (lançada em 24 de fevereiro de 2024) e 5.6.1 (lançada em 9 de março de 2024) do XZ Utils.
A exploração envolve uma manipulação sofisticada do processo de construção da liblzma. Especificamente, um arquivo-objeto pré-construído é extraído de um arquivo de teste disfarçado dentro do código-fonte. Este arquivo objeto é então usado para alterar funções específicas dentro do código liblzma, perpetuando o comprometimento.
Índice
A Vulnerabilidade CVE-2024-3094 Permite que Invasores Enviem Cargas Arbitrárias
O processo ameaçador leva a uma versão modificada da biblioteca liblzma, capaz de interceptar e alterar as interações de dados com qualquer software que a utilize.
Mais precisamente, o código incorreto incorporado na biblioteca é criado para interromper o processo daemon sshd, um componente do SSH (Secure Shell), por meio do conjunto de software systemd. Essa manipulação potencialmente concede ao agente da ameaça a capacidade de comprometer a autenticação sshd e acessar ilicitamente o sistema remotamente, dependendo do cumprimento de certas condições.
O objetivo final do backdoor prejudicial introduzido pelo CVE-2024-3094 é injetar código no servidor OpenSSH (SSHD) em execução na máquina vitimada. Isso permitiria que invasores remotos específicos, na posse de uma chave privada específica, enviassem cargas arbitrárias via SSH. Essas cargas seriam executadas antes do estágio de autenticação, assumindo efetivamente o controle de todo o sistema vitimado.
A Vulnerabilidade CVE-2024-3094 foi Provavelmente Introduzida Intencionalmente por um Autor Relacionado a Fraude
O código malicioso intrinsecamente oculto parece ter sido integrado por meio de uma sequência de quatro commits no Projeto Tukaani no GitHub por um usuário identificado como Jia Tan (JiaT75).
Considerando a atividade sustentada que se estende por várias semanas, isso sugere que o committer está diretamente implicado ou sofreu um comprometimento significativo do seu sistema. No entanto, o último cenário parece menos plausível, dado o seu envolvimento em vários fóruns sobre as supostas “correções”.
O GitHub, agora sob propriedade da Microsoft, tomou medidas desativando o repositório XZ Utils gerenciado pelo Projeto Tukaani, citando uma violação dos termos de serviço do GitHub. Até agora, não houve relatos de exploração ativa na natureza.
As investigações indicam que esses pacotes comprometidos são encontrados exclusivamente nas distribuições Fedora 41 e Fedora Rawhide. Outras distribuições importantes, como Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise e Leap e Ubuntu não são afetadas por este problema de segurança.
Combatendo a Vulnerabilidade do Backdoor CVE-2024-3094
Os usuários do Fedora Linux 40 foram aconselhados a reverter para a versão 5.4. Além disso, várias outras distribuições Linux foram afetadas pelo ataque à cadeia de abastecimento, incluindo:
Arch Linux (meio de instalação 2024.03.01, imagens de máquina virtual 20240301.218094 e 20240315.221711 e imagens de contêiner criadas entre 24 de fevereiro de 2024 e 28 de março de 2024)
- Kali Linux (entre 26 e 29 de março)
- OpenSUSE Tumbleweed e openSUSE MicroOS (entre 7 e 28 de março)
- Versões de teste, instáveis e experimentais do Debian (variando de 5.5.1alpha-0.1 a 5.6.1-1)
Este desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a emitir seu próprio alerta, aconselhando os usuários a reverter o XZ Utils para uma versão não afetada pelo comprometimento, como o XZ Utils 5.4.6 Stable.
