الثغرة الأمنية CVE-2024-3094 (XZ Backdoor)
اكتشف محللو الأمن مؤخرًا ثغرة أمنية حرجة ذات تداعيات مدمرة محتملة. وفقًا لاستشارة أمنية عاجلة، تم اختراق نسختين من أداة ضغط البيانات المستخدمة على نطاق واسع، XZ Utils (المعروفة سابقًا باسم LZMA Utils)، باستخدام تعليمات برمجية ضارة. يمكّن هذا الرمز الوصول عن بعد غير المصرح به إلى الأنظمة المتأثرة.
تم تصنيف هذا الاختراق الأمني، الذي تم تحديده باسم CVE-2024-3094، بدرجة CVSS تبلغ 10.0، مما يدل على أعلى مستوى من الخطورة. إنه يؤثر على الإصدارين 5.6.0 (تم إصداره في 24 فبراير 2024) و5.6.1 (تم إصداره في 9 مارس 2024) من XZ Utils.
يتضمن الاستغلال معالجة معقدة لعملية بناء liblzma. على وجه التحديد، يتم استخراج ملف كائن تم إنشاؤه مسبقًا من ملف اختبار مقنع داخل التعليمات البرمجية المصدر. يتم بعد ذلك استخدام ملف الكائن هذا لتغيير وظائف محددة داخل كود liblzma، مما يؤدي إلى إدامة التسوية.
جدول المحتويات
تسمح الثغرة الأمنية CVE-2024-3094 للمهاجمين بإرسال حمولات عشوائية
تؤدي عملية التهديد هذه إلى نسخة معدلة من مكتبة liblzma، قادرة على اعتراض وتغيير تفاعلات البيانات مع أي برنامج يستخدمها.
وبشكل أكثر دقة، تم تصميم التعليمات البرمجية السيئة المضمنة داخل المكتبة لتعطيل عملية البرنامج الخفي sshd، وهي أحد مكونات SSH (Secure Shell)، من خلال مجموعة برامج systemd. من المحتمل أن يمنح هذا التلاعب جهة التهديد القدرة على اختراق مصادقة sshd والوصول بشكل غير قانوني إلى النظام عن بعد، بشرط استيفاء شروط معينة.
الهدف النهائي من الباب الخلفي الضار الذي يقدمه CVE-2024-3094 هو إدخال التعليمات البرمجية في خادم OpenSSH (SSHD) الذي يعمل على الجهاز الضحية. وهذا من شأنه تمكين مهاجمين محددين عن بعد، يمتلكون مفتاحًا خاصًا معينًا، من إرسال حمولات عشوائية عبر SSH. سيتم تنفيذ هذه الحمولات قبل مرحلة المصادقة، مما يؤدي بشكل فعال إلى السيطرة على النظام الضحية بأكمله.
من المحتمل أن تكون الثغرة الأمنية CVE-2024-3094 قد تم تقديمها عن عمد بواسطة جهة ذات صلة بالاحتيال
يبدو أن التعليمات البرمجية الضارة المخفية بشكل معقد قد تم دمجها من خلال سلسلة من أربعة التزامات لمشروع Tukaani على GitHub من قبل مستخدم تم تحديده باسم Jia Tan (JiaT75).
وبالنظر إلى النشاط المستمر الذي امتد لعدة أسابيع، فإنه يشير إلى أن مرتكب الجريمة إما متورط بشكل مباشر أو تعرض لاختراق كبير لنظامه. ومع ذلك، يبدو السيناريو الأخير أقل معقولية، نظرا لمشاركتهم في مختلف المنتديات فيما يتعلق بـ "الإصلاحات" المزعومة.
اتخذ GitHub، المملوك الآن لشركة Microsoft، إجراءً من خلال إلغاء تنشيط مستودع XZ Utils الذي يديره مشروع Tukaani، مشيرًا إلى انتهاك شروط خدمة GitHub. حتى الآن، لم تكن هناك تقارير عن استغلال نشط في البرية.
تشير التحقيقات إلى أن هذه الحزم المخترقة موجودة حصريًا في توزيعات Fedora 41 وFedora Rawhide. تظل التوزيعات الرئيسية الأخرى مثل Alpine Linux وAmazon Linux وDebian Stable وGentoo Linux وLinux Mint وRed Hat Enterprise Linux (RHEL) وSUSE Linux Enterprise وLeap وUbuntu غير متأثرة بهذه المشكلة الأمنية.
التخفيف من ثغرة الباب الخلفي CVE-2024-3094
تم نصح مستخدمي Fedora Linux 40 بالعودة إلى الإصدار 5.4. بالإضافة إلى ذلك، تأثرت العديد من توزيعات Linux الأخرى بهجوم سلسلة التوريد، بما في ذلك:
Arch Linux (وسيط التثبيت 2024.03.01، وصور الجهاز الظاهري 20240301.218094 و20240315.221711، وصور الحاويات التي تم إنشاؤها بين 24 فبراير 2024 و28 مارس 2024)
- كالي لينكس (بين 26 و29 مارس)
- openSUSE Tumbleweed وopenSUSE MicroOS (بين 7 و28 مارس)
- اختبار دبيان، الإصدارات غير المستقرة والتجريبية (تتراوح من 5.5.1alpha-0.1 إلى 5.6.1-1)
دفع هذا التطور وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إصدار تنبيه خاص بها، ونصحت المستخدمين بإرجاع XZ Utils إلى إصدار لم يتأثر بالاختراق، مثل XZ Utils 5.4.6 Stable.
