Vulnerabilitat CVE-2024-3094 (porta posterior XZ)

Els analistes de seguretat han descobert recentment una vulnerabilitat crítica amb repercussions potencialment devastadores. Segons un avís de seguretat urgent, dues iteracions de l'eina de compressió de dades àmpliament utilitzada, XZ Utils (abans coneguda com a LZMA Utils), s'han vist compromeses amb codi maliciós. Aquest codi permet l'accés remot no autoritzat als sistemes afectats.

Aquesta infracció de seguretat, identificada com a CVE-2024-3094, té una puntuació CVSS de 10,0, que significa el nivell més alt de gravetat. Afecta les versions 5.6.0 (publicada el 24 de febrer de 2024) i 5.6.1 (publicada el 9 de març de 2024) de XZ Utils.

L'explotació implica una manipulació sofisticada del procés de creació de liblzma. Concretament, un fitxer d'objecte preconstruït s'extreu d'un fitxer de prova disfressat dins del codi font. Aquest fitxer objecte s'utilitza llavors per alterar funcions específiques dins del codi liblzma, perpetuant el compromís.

La vulnerabilitat CVE-2024-3094 permet als atacants enviar càrregues útils arbitràries

El procés amenaçador condueix a una versió modificada de la biblioteca liblzma, capaç d'interceptar i alterar les interaccions de dades amb qualsevol programari que l'utilitzi.

Més precisament, el codi dolent incrustat a la biblioteca està dissenyat per interrompre el procés del dimoni sshd, un component de SSH (Secure Shell), mitjançant la suite de programari systemd. Aquesta manipulació potencialment atorga a un actor de l'amenaça la capacitat de comprometre l'autenticació sshd i accedir il·lícitament al sistema de forma remota, sempre que es compleixin determinades condicions.

L'objectiu final de la porta posterior nociva introduïda per CVE-2024-3094 és injectar codi al servidor OpenSSH (SSHD) que s'executa a la màquina víctima. Això permetria als atacants remots específics, en possessió d'una clau privada determinada, enviar càrregues útils arbitràries mitjançant SSH. Aquestes càrregues útils s'executarien abans de l'etapa d'autenticació, prenent efectivament el control de tot el sistema victimitzat.

La vulnerabilitat CVE-2024-3094 probablement va ser introduïda intencionadament per un actor relacionat amb el frau

El codi maliciós complexament amagat sembla haver estat integrat a través d'una seqüència de quatre compromisos al projecte Tukaani a GitHub per un usuari identificat com Jia Tan (JiaT75).

Tenint en compte l'activitat sostinguda que s'estén durant diverses setmanes, suggereix que el committer està directament implicat o ha experimentat un compromís important del seu sistema. No obstant això, aquest darrer escenari sembla menys plausible, donada la seva participació en diversos fòrums pel que fa a les suposades "correccions".

GitHub, ara sota la propietat de Microsoft, ha pres mesures desactivant el repositori XZ Utils gestionat pel projecte Tukaani, citant un incompliment dels termes del servei de GitHub. Fins ara, no hi ha hagut informes d'explotació activa en estat salvatge.

Les investigacions indiquen que aquests paquets compromesos es troben exclusivament a les distribucions Fedora 41 i Fedora Rawhide. Altres distribucions importants com Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise i Leap i Ubuntu no es veuen afectades per aquest problema de seguretat.

Mitigació de la vulnerabilitat de la porta posterior CVE-2024-3094

S'ha recomanat als usuaris de Fedora Linux 40 que tornin a una compilació 5.4. A més, diverses altres distribucions de Linux s'han vist afectades per l'atac a la cadena de subministrament, com ara:

Arch Linux (mitjà d'instal·lació 2024.03.01, imatges de màquines virtuals 20240301.218094 i 20240315.221711 i imatges de contenidors creades entre el 24 de febrer de 2024 i el 28 de març de 2024)

• Kali Linux (entre el 26 i el 29 de març)
• openSUSE Tumbleweed i openSUSE MicroOS (entre el 7 i el 28 de març)
• Proves de Debian, versions inestables i experimentals (des de 5.5.1alpha-0.1 fins a 5.6.1-1)

Aquest desenvolupament ha fet que l'Agència de Seguretat de la Ciberseguretat i la Infraestructura (CISA) dels Estats Units emeti la seva pròpia alerta, aconsellant als usuaris que tornin XZ Utils a una versió no afectada pel compromís, com ara XZ Utils 5.4.6 Stable.