Ευπάθεια CVE-2024-3094 (XZ Backdoor)
Οι αναλυτές ασφαλείας ανακάλυψαν πρόσφατα μια κρίσιμη ευπάθεια με δυνητικά καταστροφικές επιπτώσεις. Σύμφωνα με μια επείγουσα συμβουλή ασφαλείας, δύο επαναλήψεις του ευρέως χρησιμοποιούμενου εργαλείου συμπίεσης δεδομένων, XZ Utils (παλαιότερα γνωστό ως LZMA Utils), έχουν παραβιαστεί με κακόβουλο κώδικα. Αυτός ο κωδικός επιτρέπει τη μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στα επηρεαζόμενα συστήματα.
Αυτή η παραβίαση ασφαλείας, που προσδιορίζεται ως CVE-2024-3094, βαθμολογείται με βαθμολογία CVSS 10,0, που σημαίνει το υψηλότερο επίπεδο σοβαρότητας. Επηρεάζει τις εκδόσεις 5.6.0 (κυκλοφόρησε στις 24 Φεβρουαρίου 2024) και 5.6.1 (κυκλοφόρησε στις 9 Μαρτίου 2024) του XZ Utils.
Το exploit περιλαμβάνει έναν περίπλοκο χειρισμό της διαδικασίας κατασκευής του liblzma. Συγκεκριμένα, ένα προκατασκευασμένο αρχείο αντικειμένου εξάγεται από ένα κρυμμένο αρχείο δοκιμής μέσα στον πηγαίο κώδικα. Αυτό το αρχείο αντικειμένου χρησιμοποιείται στη συνέχεια για την τροποποίηση συγκεκριμένων συναρτήσεων στον κώδικα liblzma, διαιωνίζοντας τον συμβιβασμό.
Πίνακας περιεχομένων
Η ευπάθεια CVE-2024-3094 επιτρέπει στους εισβολείς να στέλνουν αυθαίρετα ωφέλιμα φορτία
Η απειλητική διαδικασία οδηγεί σε μια τροποποιημένη έκδοση της βιβλιοθήκης liblzma, ικανή να υποκλέψει και να τροποποιήσει τις αλληλεπιδράσεις δεδομένων με οποιοδήποτε λογισμικό που τη χρησιμοποιεί.
Πιο συγκεκριμένα, ο κακός κώδικας που είναι ενσωματωμένος στη βιβλιοθήκη έχει δημιουργηθεί για να διαταράξει τη διαδικασία δαίμονα sshd, ένα στοιχείο του SSH (Secure Shell), μέσω της σουίτας λογισμικού systemd. Αυτός ο χειρισμός δυνητικά παρέχει σε έναν παράγοντα απειλής τη δυνατότητα να θέσει σε κίνδυνο τον έλεγχο ταυτότητας sshd και να αποκτήσει παράνομη πρόσβαση στο σύστημα εξ αποστάσεως, υπό την προϋπόθεση ότι πληρούνται ορισμένες προϋποθέσεις.
Ο απώτερος στόχος της επιβλαβούς κερκόπορτας που εισήχθη από το CVE-2024-3094 είναι να εισάγει κώδικα στον διακομιστή OpenSSH (SSHD) που εκτελείται στο μηχάνημα που έχει γίνει θύμα. Αυτό θα επέτρεπε σε συγκεκριμένους απομακρυσμένους εισβολείς, που έχουν στην κατοχή τους ένα συγκεκριμένο ιδιωτικό κλειδί, να αποστέλλουν αυθαίρετα ωφέλιμα φορτία μέσω SSH. Αυτά τα ωφέλιμα φορτία θα εκτελούνταν πριν από το στάδιο ελέγχου ταυτότητας, παίρνοντας ουσιαστικά τον έλεγχο ολόκληρου του θυματοποιημένου συστήματος.
Η ευπάθεια CVE-2024-3094 πιθανότατα εισήχθη σκόπιμα από έναν παράγοντα που σχετίζεται με απάτη
Ο περίπλοκα κρυμμένος κακόβουλος κώδικας φαίνεται να έχει ενσωματωθεί μέσω μιας ακολουθίας τεσσάρων δεσμεύσεων στο Tukaani Project στο GitHub από έναν χρήστη που προσδιορίζεται ως Jia Tan (JiaT75).
Λαμβάνοντας υπόψη τη συνεχιζόμενη δραστηριότητα που εκτείνεται σε αρκετές εβδομάδες, υποδηλώνει ότι ο committer είτε εμπλέκεται άμεσα είτε έχει βιώσει σημαντικό συμβιβασμό του συστήματός του. Ωστόσο, το τελευταίο σενάριο φαίνεται λιγότερο εύλογο, δεδομένης της εμπλοκής τους σε διάφορα φόρουμ σχετικά με τις υποτιθέμενες «διορθώσεις».
Το GitHub, τώρα υπό την ιδιοκτησία της Microsoft, έχει λάβει μέτρα απενεργοποιώντας το αποθετήριο XZ Utils που διαχειρίζεται το Tukaani Project, επικαλούμενος παραβίαση των όρων παροχής υπηρεσιών του GitHub. Μέχρι στιγμής, δεν έχουν υπάρξει αναφορές για ενεργή εκμετάλλευση στη φύση.
Οι έρευνες δείχνουν ότι αυτά τα παραβιασμένα πακέτα βρίσκονται αποκλειστικά στις διανομές Fedora 41 και Fedora Rawhide. Άλλες μεγάλες διανομές όπως το Alpine Linux, το Amazon Linux, το Debian Stable, το Gentoo Linux, το Linux Mint, το Red Hat Enterprise Linux (RHEL), το SUSE Linux Enterprise and Leap και το Ubuntu παραμένουν ανεπηρέαστα από αυτό το ζήτημα ασφαλείας.
Μετριασμός της ευπάθειας της κερκόπορτας CVE-2024-3094
Οι χρήστες του Fedora Linux 40 έχουν λάβει συμβουλές να επιστρέψουν σε έκδοση 5.4. Επιπλέον, αρκετές άλλες διανομές Linux έχουν επηρεαστεί από την επίθεση της αλυσίδας εφοδιασμού, όπως:
Arch Linux (μέσο εγκατάστασης 2024.03.01, εικόνες εικονικής μηχανής 20240301.218094 και 20240315.221711 και εικόνες κοντέινερ που δημιουργήθηκαν μεταξύ 24 Φεβρουαρίου 2024 και 28 Μαρτίου 2024)
- Kali Linux (μεταξύ 26 Μαρτίου και 29 Μαρτίου)
- openSUSE Tumbleweed και openSUSE MicroOS (μεταξύ 7 Μαρτίου και 28 Μαρτίου)
- Δοκιμές Debian, ασταθείς και πειραματικές εκδόσεις (που κυμαίνονται από 5.5.1alpha-0.1 έως 5.6.1-1)
Αυτή η εξέλιξη ώθησε την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) να εκδώσει τη δική της ειδοποίηση, συμβουλεύοντας τους χρήστες να επαναφέρουν το XZ Utils σε μια έκδοση που δεν επηρεάζεται από τον συμβιβασμό, όπως η XZ Utils 5.4.6 Stable.
