CVE-2024-3094 Уязвимост (XZ Backdoor)
Анализаторите по сигурността наскоро откриха критична уязвимост с потенциално опустошителни последици. Според спешен съвет за сигурност, две итерации на широко използвания инструмент за компресиране на данни, XZ Utils (преди известен като LZMA Utils), са били компрометирани със злонамерен код. Този код позволява неоторизиран отдалечен достъп до засегнатите системи.
Този пробив в сигурността, идентифициран като CVE-2024-3094, е оценен с CVSS резултат от 10,0, което означава най-високото ниво на сериозност. Засяга версии 5.6.0 (издадена на 24 февруари 2024 г.) и 5.6.1 (издадена на 9 март 2024 г.) на XZ Utils.
Експлойтът включва сложна манипулация на процеса на изграждане на liblzma. По-конкретно, предварително компилиран обектен файл се извлича от маскиран тестов файл в изходния код. След това този обектен файл се използва за промяна на специфични функции в кода на liblzma, запазвайки компромиса.
Съдържание
Уязвимостта CVE-2024-3094 позволява на нападателите да изпращат произволни полезни товари
Този заплашителен процес води до модифицирана версия на библиотеката liblzma, способна да прихваща и променя взаимодействията на данни с всеки софтуер, който я използва.
По-точно, лошият код, вграден в библиотеката, е създаден, за да наруши процеса на sshd демон, компонент на SSH (Secure Shell), чрез софтуерния пакет systemd. Тази манипулация потенциално предоставя на заплахата възможността да компрометира удостоверяването на sshd и да получи незаконен отдалечен достъп до системата, в зависимост от изпълнението на определени условия.
Крайната цел на вредоносната задна врата, въведена от CVE-2024-3094, е да инжектира код в OpenSSH сървъра (SSHD), работещ на жертвената машина. Това би позволило на конкретни отдалечени нападатели, които притежават конкретен частен ключ, да изпращат произволни полезни товари чрез SSH. Тези полезни натоварвания ще се изпълнят преди етапа на удостоверяване, като ефективно ще поемат контрола върху цялата жертвена система.
Уязвимостта CVE-2024-3094 вероятно е умишлено въведена от актьор, свързан с измама
Сложно скритият злонамерен код изглежда е интегриран чрез поредица от четири ангажимента към проекта Tukaani в GitHub от потребител, идентифициран като Jia Tan (JiaT75).
Като се има предвид продължителната дейност, обхващаща няколко седмици, това предполага, че извършителят е или пряко замесен, или е претърпял значителен компромет на тяхната система. Последният сценарий обаче изглежда по-малко правдоподобен, като се има предвид тяхната ангажираност в различни форуми по отношение на предполагаемите „поправки“.
GitHub, който сега е собственост на Microsoft, предприе действия, като деактивира хранилището на XZ Utils, управлявано от проекта Tukaani, позовавайки се на нарушение на условията за обслужване на GitHub. Към момента няма съобщения за активна експлоатация в дивата природа.
Разследванията показват, че тези компрометирани пакети се намират изключително в дистрибуциите на Fedora 41 и Fedora Rawhide. Други големи дистрибуции като Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise и Leap и Ubuntu остават незасегнати от този проблем със сигурността.
Намаляване на уязвимостта на задната вратичка CVE-2024-3094
Потребителите на Fedora Linux 40 бяха посъветвани да се върнат към компилация 5.4. Освен това, няколко други дистрибуции на Linux са били засегнати от атаката на веригата за доставки, включително:
Arch Linux (инсталационна среда 2024.03.01, изображения на виртуални машини 20240301.218094 и 20240315.221711 и изображения на контейнери, създадени между 24 февруари 2024 г. и 28 март 2024 г.)
- Kali Linux (между 26 март и 29 март)
- openSUSE Tumbleweed и openSUSE MicroOS (между 7 март и 28 март)
- Тестване на Debian, нестабилни и експериментални версии (вариращи от 5.5.1alpha-0.1 до 5.6.1-1)
Това развитие накара Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) да издаде свой собствен сигнал, съветвайки потребителите да върнат XZ Utils към версия, която не е засегната от компромиса, като XZ Utils 5.4.6 Stable.
