Chyba zabezpečení CVE-2024-3094 (XZ Backdoor)

Bezpečnostní analytici nedávno objevili kritickou zranitelnost s potenciálně zničujícími důsledky. Podle naléhavého bezpečnostního upozornění byly dvě iterace široce používaného nástroje pro kompresi dat XZ Utils (dříve známého jako LZMA Utils) napadeny škodlivým kódem. Tento kód umožňuje neoprávněný vzdálený přístup k postiženým systémům.

Toto narušení zabezpečení, označené jako CVE-2024-3094, je hodnoceno skóre CVSS 10,0, což znamená nejvyšší úroveň závažnosti. Ovlivňuje verze 5.6.0 (vydané 24. února 2024) a 5.6.1 (vydané 9. března 2024) XZ Utils.

Zneužití zahrnuje sofistikovanou manipulaci s procesem sestavení liblzma. Konkrétně se předem sestavený objektový soubor extrahuje ze skrytého testovacího souboru ve zdrojovém kódu. Tento objektový soubor se pak použije ke změně specifických funkcí v kódu liblzma, čímž se zvěčňuje kompromis.

Chyba zabezpečení CVE-2024-3094 umožňuje útočníkům posílat libovolný náklad

Tento ohrožující proces vede k upravené verzi knihovny liblzma, která je schopna zachytit a pozměnit datové interakce s jakýmkoli softwarem, který ji využívá.

Přesněji řečeno, špatný kód vložený do knihovny je vytvořen tak, aby narušil proces démona sshd, který je součástí SSH (Secure Shell), prostřednictvím softwarové sady systemd. Tato manipulace potenciálně poskytuje aktérovi hrozby možnost kompromitovat autentizaci sshd a nelegálně přistupovat k systému na dálku, za předpokladu splnění určitých podmínek.

Konečným cílem škodlivých zadních vrátek zavedených CVE-2024-3094 je vložení kódu do serveru OpenSSH (SSHD) běžícího na pronásledovaném počítači. To by umožnilo konkrétním vzdáleným útočníkům, kteří vlastní konkrétní soukromý klíč, odesílat libovolná data prostřednictvím SSH. Tyto užitečné zátěže by se spustily před fází autentizace, čímž by efektivně převzaly kontrolu nad celým viktimizovaným systémem.

Chyba zabezpečení CVE-2024-3094 byla pravděpodobně záměrně zavedena aktérem souvisejícím s podvody

Zdá se, že složitě skrytý škodlivý kód byl integrován prostřednictvím sekvence čtyř potvrzení projektu Tukaani na GitHubu uživatelem identifikovaným jako Jia Tan (JiaT75).

Vzhledem k trvalé aktivitě trvající několik týdnů to naznačuje, že pachatel je buď přímo zapojen, nebo zažil významný kompromis svého systému. Nicméně druhý scénář se zdá méně pravděpodobný, vzhledem k jejich zapojení na různých fórech ohledně údajných „oprav“.

GitHub, který je nyní ve vlastnictví společnosti Microsoft, podnikl kroky deaktivací úložiště XZ Utils spravovaného projektem Tukaani s odvoláním na porušení podmínek služby GitHub. Dosud nebyly zaznamenány žádné zprávy o aktivním využívání ve volné přírodě.

Vyšetřování ukazuje, že tyto kompromitované balíčky se nacházejí výhradně v distribucích Fedora 41 a Fedora Rawhide. Ostatní hlavní distribuce jako Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise a Leap a Ubuntu zůstávají tímto bezpečnostním problémem nedotčeny.

Zmírnění chyby zabezpečení CVE-2024-3094 Backdoor

Uživatelům Fedora Linux 40 bylo doporučeno vrátit se k sestavení 5.4. Kromě toho bylo útokem na dodavatelský řetězec ovlivněno několik dalších distribucí Linuxu, včetně:

Arch Linux (instalační médium 2024.03.01, obrazy virtuálních strojů 20240301.218094 a 20240315.221711 a obrazy kontejnerů vytvořené mezi 24. únorem 2024 a 28. březnem 2024)

• Kali Linux (mezi 26. březnem a 29. březnem)
• openSUSE Tumbleweed a openSUSE MicroOS (mezi 7. březnem a 28. březnem)
• Testování Debianu, nestabilní a experimentální verze (v rozsahu od 5.5.1alpha-0.1 do 5.6.1-1)

Tento vývoj podnítil americkou Agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) k vydání vlastního varování, které uživatelům doporučuje vrátit XZ Utils na verzi, která není ovlivněna kompromisem, jako je XZ Utils 5.4.6 Stable.