CVE-2024-3094 haavatavus (XZ tagauks)
Turvaanalüütikud on hiljuti avastanud kriitilise haavatavuse, millel on potentsiaalselt laastavad tagajärjed. Kiireloomulise turvanõuande kohaselt on laialdaselt kasutatava andmete tihendamise tööriista XZ Utils (endise nimega LZMA Utils) kaks iteratsiooni sattunud pahatahtliku koodiga ohtu. See kood võimaldab volitamata kaugjuurdepääsu mõjutatud süsteemidele.
See turvarikkumine, mis on identifitseeritud kui CVE-2024-3094, on hinnatud CVSS-i skooriga 10,0, mis tähistab kõrgeimat raskusastet. See mõjutab XZ Utilsi versioone 5.6.0 (välja antud 24. veebruaril 2024) ja 5.6.1 (välja antud 9. märtsil 2024).
Ärakasutamine hõlmab liblzma ehitusprotsessi keerukat manipuleerimist. Täpsemalt ekstraheeritakse lähtekoodi varjatud testfailist eelehitatud objektifail. Seda objektifaili kasutatakse seejärel konkreetsete funktsioonide muutmiseks liblzma koodis, säilitades kompromissi.
Sisukord
CVE-2024-3094 haavatavus võimaldab ründajatel saata meelevaldseid kasulikke koormusi
See ähvardav protsess viib liblzma teegi muudetud versioonini, mis on võimeline pealtkuulama ja muutma andmete interaktsiooni mis tahes tarkvaraga, mis seda kasutab.
Täpsemalt, teeki manustatud halb kood on loodud häirima sshd deemoni protsessi, SSH (Secure Shelli) komponenti, süsteemi tarkvarakomplekti kaudu. See manipuleerimine annab potentsiaalselt ohus osalejale võimaluse ohustada sshd autentimist ja pääseda süsteemile ebaseaduslikult kaugjuurdepääsuga, tingimusel et teatud tingimused on täidetud.
CVE-2024-3094 kasutusele võetud kahjuliku tagaukse lõppeesmärk on sisestada kood ohvriks langenud masinas töötavasse OpenSSH-serverisse (SSHD). See võimaldaks konkreetsetel kaugründajatel, kellel on konkreetne privaatvõti, saata SSH kaudu suvalisi kasulikke koormusi. Need kasulikud koormused täidetakse enne autentimisetappi, haarates tõhusalt kontrolli kogu ohvriks langenud süsteemi üle.
CVE-2024-3094 haavatavuse sisestas tõenäoliselt tahtlikult pettusega seotud tegutseja
Tundub, et keerukalt peidetud pahatahtliku koodi integreeris Jia Tan (JiaT75) kasutaja nimega Jia Tan (JiaT75) GitHubis asuvasse Tukaani projekti nelja toimingu kaudu.
Arvestades mitu nädalat kestnud pidevat tegevust, viitab see sellele, et toimepanija on kas otseselt seotud või on kogenud oma süsteemis olulist ohtu. Viimane stsenaarium tundub aga vähem usutav, arvestades nende osalemist väidetavate "paranduste" erinevatel foorumitel.
GitHub, mis on nüüd Microsofti omandis, on astunud samme, desaktiveerides Tukaani projekti hallatava XZ Utilsi hoidla, viidates GitHubi teenusetingimuste rikkumisele. Praeguse seisuga ei ole teateid aktiivsest looduses kasutamisest.
Uuringud näitavad, et neid ohustatud pakette leidub ainult Fedora 41 ja Fedora Rawhide distributsioonides. See turbeprobleem ei mõjuta teisi suuremaid distributsioone, nagu Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap ja Ubuntu.
CVE-2024-3094 tagaukse haavatavuse leevendamine
Fedora Linux 40 kasutajatel on soovitatud naasta versioonile 5.4. Lisaks on tarneahela rünnak mõjutanud mitmeid teisi Linuxi distributsioone, sealhulgas:
Arch Linux (installikandja 2024.03.01, virtuaalmasina kujutised 20240301.218094 ja 20240315.221711 ning konteinerkujutised, mis on loodud ajavahemikus 24. veebruar 2024 kuni 28. märts 2024)
- Kali Linux (26. märtsist 29. märtsini)
- openSUSE Tumbleweed ja openSUSE MicroOS (7. märtsist 28. märtsini)
- Debiani testimise, ebastabiilsed ja eksperimentaalsed versioonid (vahemikus 5.5.1alpha-0.1 kuni 5.6.1-1)
See areng on ajendanud USA küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) väljastama oma hoiatuse, soovitades kasutajatel taastada XZ Utilsi versioon, mida kompromiss ei mõjuta, näiteks XZ Utils 5.4.6 Stable.
