CVE-2024-3094 Sårbarhed (XZ Backdoor)
Sikkerhedsanalytikere har for nylig opdaget en kritisk sårbarhed med potentielt ødelæggende konsekvenser. Ifølge en presserende sikkerhedsrådgivning er to iterationer af det meget brugte datakomprimeringsværktøj, XZ Utils (tidligere kendt som LZMA Utils), blevet kompromitteret med ondsindet kode. Denne kode muliggør uautoriseret fjernadgang til berørte systemer.
Dette sikkerhedsbrud, identificeret som CVE-2024-3094, er bedømt med en CVSS-score på 10,0, hvilket betyder det højeste niveau af alvorlighed. Det påvirker version 5.6.0 (udgivet den 24. februar 2024) og 5.6.1 (udgivet den 9. marts 2024) af XZ Utils.
Udnyttelsen involverer en sofistikeret manipulation af liblzma byggeprocessen. Specifikt udtrækkes en forudbygget objektfil fra en skjult testfil i kildekoden. Denne objektfil bruges derefter til at ændre specifikke funktioner i liblzma-koden, hvorved kompromiset fortsætter.
Indholdsfortegnelse
CVE-2024-3094-sårbarheden gør det muligt for angribere at sende vilkårlige nyttelaster
Den truende proces fører til en modificeret version af liblzma-biblioteket, der er i stand til at opsnappe og ændre datainteraktioner med enhver software, der bruger det.
Mere præcist er den dårlige kode, der er indlejret i biblioteket, udformet til at forstyrre sshd-dæmonprocessen, en komponent af SSH (Secure Shell), gennem systemsoftwarepakken. Denne manipulation giver potentielt en trusselsaktør mulighed for at kompromittere sshd-godkendelse og ulovligt få adgang til systemet eksternt, betinget af, at visse betingelser er opfyldt.
Det ultimative formål med den skadelige bagdør introduceret af CVE-2024-3094 er at injicere kode i OpenSSH-serveren (SSHD), der kører på den udsatte maskine. Dette ville gøre det muligt for specifikke fjernangribere, i besiddelse af en bestemt privat nøgle, at sende vilkårlige nyttelaster via SSH. Disse nyttelaster vil udføres før autentificeringsstadiet, hvilket effektivt overtager kontrollen over hele det ramte system.
CVE-2024-3094-sårbarheden blev sandsynligvis introduceret med vilje af en svindel-relateret aktør
Den indviklet skjulte ondsindede kode ser ud til at være blevet integreret gennem en sekvens på fire tilsagn til Tukaani-projektet på GitHub af en bruger identificeret som Jia Tan (JiaT75).
I betragtning af den vedvarende aktivitet, der strækker sig over flere uger, tyder det på, at committeren enten er direkte impliceret eller har oplevet et betydeligt kompromittering af deres system. Sidstnævnte scenarie virker dog mindre plausibelt i betragtning af deres engagement på forskellige fora vedrørende de påståede 'rettelser'.
GitHub, nu under Microsofts ejerskab, har truffet handling ved at deaktivere XZ Utils-lageret, der administreres af Tukaani-projektet, med henvisning til et brud på GitHubs servicevilkår. Indtil videre har der ikke været rapporter om aktiv udnyttelse i naturen.
Undersøgelser indikerer, at disse kompromitterede pakker udelukkende findes i Fedora 41 og Fedora Rawhide distributioner. Andre større distributioner såsom Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise og Leap og Ubuntu forbliver upåvirket af dette sikkerhedsproblem.
Afhjælpning af CVE-2024-3094 Backdoor-sårbarheden
Brugere af Fedora Linux 40 er blevet anbefalet at vende tilbage til en 5.4 build. Derudover er flere andre Linux-distributioner blevet påvirket af forsyningskædeangrebet, herunder:
Arch Linux (installationsmedie 2024.03.01, virtuelle maskinbilleder 20240301.218094 og 20240315.221711 og containerbilleder oprettet mellem 24. februar 2024 og 28. marts 2024)
- Kali Linux (mellem 26. marts og 29. marts)
- openSUSE Tumbleweed og openSUSE MicroOS (mellem 7. marts og 28. marts)
- Debians testversioner, ustabile og eksperimentelle versioner (spænder fra 5.5.1alpha-0.1 til 5.6.1-1)
Denne udvikling har fået det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) til at udsende sin egen advarsel, der råder brugerne til at vende tilbage til XZ Utils til en version, der ikke er påvirket af kompromiset, såsom XZ Utils 5.4.6 Stable.
