CVE-2024-3094 দুর্বলতা (XZ ব্যাকডোর)

নিরাপত্তা বিশ্লেষকরা সম্প্রতি সম্ভাব্য ধ্বংসাত্মক প্রতিক্রিয়া সহ একটি গুরুতর দুর্বলতা আবিষ্কার করেছেন। একটি জরুরি নিরাপত্তা পরামর্শ অনুযায়ী, ব্যাপকভাবে ব্যবহৃত ডেটা কম্প্রেশন টুল, XZ Utils (পূর্বে LZMA Utils নামে পরিচিত) এর দুটি পুনরাবৃত্তি দূষিত কোডের সাথে আপস করা হয়েছে। এই কোডটি প্রভাবিত সিস্টেমে অননুমোদিত দূরবর্তী অ্যাক্সেস সক্ষম করে।

এই নিরাপত্তা লঙ্ঘন, CVE-2024-3094 হিসাবে চিহ্নিত, CVSS স্কোর 10.0 দিয়ে রেট করা হয়েছে, যা সর্বোচ্চ স্তরের তীব্রতা নির্দেশ করে। এটি XZ Utils-এর সংস্করণ 5.6.0 (24 ফেব্রুয়ারি, 2024-এ প্রকাশিত) এবং 5.6.1 (9 মার্চ, 2024-এ প্রকাশিত) প্রভাবিত করে৷

শোষণের সাথে লিব্লজমা নির্মাণ প্রক্রিয়ার একটি পরিশীলিত হেরফের জড়িত। বিশেষত, সোর্স কোডের মধ্যে একটি ছদ্মবেশী পরীক্ষা ফাইল থেকে একটি প্রি-বিল্ট অবজেক্ট ফাইল বের করা হয়। এই অবজেক্ট ফাইলটি তারপর liblzma কোডের মধ্যে নির্দিষ্ট ফাংশন পরিবর্তন করতে ব্যবহার করা হয়, আপসকে স্থায়ী করে।

CVE-2024-3094 দুর্বলতা আক্রমণকারীদের নির্বিচারে পেলোড পাঠাতে অনুমতি দেয়

হুমকির প্রক্রিয়াটি liblzma লাইব্রেরির একটি পরিবর্তিত সংস্করণের দিকে নিয়ে যায়, এটি ব্যবহার করে এমন যেকোনো সফ্টওয়্যারের সাথে ডেটা ইন্টারঅ্যাকশনকে বাধা দিতে এবং পরিবর্তন করতে সক্ষম।

আরও স্পষ্টভাবে, লাইব্রেরির মধ্যে এমবেড করা খারাপ কোডটি সিস্টেমড সফ্টওয়্যার স্যুটের মাধ্যমে SSH (Secure Shell) এর একটি উপাদান, sshd ডেমন প্রক্রিয়াকে ব্যাহত করার জন্য তৈরি করা হয়েছে। এই ম্যানিপুলেশনটি সম্ভাব্যভাবে একজন হুমকি অভিনেতাকে sshd প্রমাণীকরণের সাথে আপস করার ক্ষমতা দেয় এবং কিছু শর্ত পূরণের উপর নির্ভর করে দূরবর্তীভাবে সিস্টেমে অবৈধভাবে অ্যাক্সেস করতে পারে।

CVE-2024-3094 দ্বারা প্রবর্তিত ক্ষতিকারক ব্যাকডোরের চূড়ান্ত লক্ষ্য হল ভিকটিম মেশিনে চলমান OpenSSH সার্ভারে (SSHD) কোড ইনজেক্ট করা। এটি নির্দিষ্ট দূরবর্তী আক্রমণকারীদের, একটি নির্দিষ্ট প্রাইভেট কী দখলে, SSH এর মাধ্যমে নির্বিচারে পেলোড প্রেরণ করতে সক্ষম করবে। এই পেলোডগুলি প্রমাণীকরণ পর্যায়ের আগে কার্যকর হবে, কার্যকরভাবে সম্পূর্ণ ক্ষতিগ্রস্ত সিস্টেমের নিয়ন্ত্রণ দখল করবে।

CVE-2024-3094 দুর্বলতা সম্ভবত ইচ্ছাকৃতভাবে একজন জালিয়াতি-সম্পর্কিত অভিনেতা দ্বারা প্রবর্তন করা হয়েছিল

জটিলভাবে লুকানো দূষিত কোডটি জিয়া ট্যান (জিয়াটি75) নামে পরিচিত একজন ব্যবহারকারীর দ্বারা গিটহাবের তুকানি প্রজেক্টে চারটি প্রতিশ্রুতির মাধ্যমে একত্রিত করা হয়েছে বলে মনে হচ্ছে।

বেশ কয়েক সপ্তাহ ধরে চলমান ক্রিয়াকলাপ বিবেচনা করে, এটি পরামর্শ দেয় যে প্রতিশ্রুতিদাতা হয় সরাসরি জড়িত বা তাদের সিস্টেমের একটি উল্লেখযোগ্য আপস অনুভব করেছে। যাইহোক, পরবর্তী দৃশ্যকল্পটি কম যুক্তিসঙ্গত বলে মনে হয়, বিভিন্ন ফোরামে কথিত 'ফিক্স' সংক্রান্ত তাদের ব্যস্ততার কারণে।

GitHub, এখন Microsoft এর মালিকানার অধীনে, GitHub-এর পরিষেবার শর্তাবলী লঙ্ঘনের উল্লেখ করে Tukaani প্রজেক্ট দ্বারা পরিচালিত XZ Utils সংগ্রহস্থল নিষ্ক্রিয় করে পদক্ষেপ নিয়েছে। এখন পর্যন্ত, বন্য এলাকায় সক্রিয় শোষণের কোন রিপোর্ট নেই।

অনুসন্ধানগুলি ইঙ্গিত করে যে এই আপস করা প্যাকেজগুলি শুধুমাত্র Fedora 41 এবং Fedora Rawhide বিতরণে পাওয়া যায়। অন্যান্য প্রধান ডিস্ট্রিবিউশন যেমন আলপাইন লিনাক্স, অ্যামাজন লিনাক্স, ডেবিয়ান স্টেবল, জেন্টু লিনাক্স, লিনাক্স মিন্ট, রেড হ্যাট এন্টারপ্রাইজ লিনাক্স (আরএইচইএল), সুস লিনাক্স এন্টারপ্রাইজ এবং লিপ, এবং উবুন্টু এই নিরাপত্তা সমস্যা দ্বারা প্রভাবিত নয়।

CVE-2024-3094 ব্যাকডোর দুর্বলতা প্রশমিত করা

Fedora Linux 40 ব্যবহারকারীদের 5.4 বিল্ডে ফিরে যাওয়ার পরামর্শ দেওয়া হয়েছে। উপরন্তু, অন্যান্য লিনাক্স বিতরণগুলি সরবরাহ চেইন আক্রমণ দ্বারা প্রভাবিত হয়েছে, যার মধ্যে রয়েছে:

আর্চ লিনাক্স (ইনস্টলেশন মাধ্যম 2024.03.01, ভার্চুয়াল মেশিনের ছবি 20240301.218094 এবং 20240315.221711, এবং 24 ফেব্রুয়ারি, 2024 এবং 28 মার্চ, 2024-এর মধ্যে তৈরি কন্টেইনার ছবি)

• কালি লিনাক্স (26 মার্চ থেকে 29 মার্চের মধ্যে)
• openSUSE Tumbleweed এবং openSUSE MicroOS (7 মার্চ থেকে 28 মার্চের মধ্যে)
• ডেবিয়ান টেস্টিং, অস্থির, এবং পরীক্ষামূলক সংস্করণ (5.5.1alpha-0.1 থেকে 5.6.1-1 পর্যন্ত)

এই উন্নয়নটি ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) কে তার নিজস্ব সতর্কতা জারি করতে প্ররোচিত করেছে, ব্যবহারকারীদের XZ ইউটিলসকে আপস দ্বারা প্রভাবিত না হওয়া সংস্করণে ফিরিয়ে আনার পরামর্শ দিয়েছে, যেমন XZ ইউটিলস 5.4.6 স্ট্যাবল।