آسیب پذیری CVE-2024-3094 (XZ Backdoor)

تحلیلگران امنیتی اخیراً یک آسیب پذیری حیاتی با پیامدهای بالقوه ویرانگر را کشف کرده اند. بر اساس یک مشاوره امنیتی فوری، دو تکرار از ابزار فشرده سازی داده پرکاربرد، XZ Utils (که قبلا به نام LZMA Utils شناخته می شد)، با کد مخرب در معرض خطر قرار گرفته است. این کد دسترسی غیرمجاز از راه دور به سیستم های آسیب دیده را امکان پذیر می کند.

این نقض امنیتی که با نام CVE-2024-3094 شناسایی شده است، با امتیاز CVSS 10.0 رتبه بندی شده است که نشان دهنده بالاترین سطح شدت است. این نسخه 5.6.0 (منتشر شده در 24 فوریه 2024) و 5.6.1 (منتشر شده در 9 مارس 2024) XZ Utils را تحت تأثیر قرار می دهد.

این اکسپلویت شامل یک دستکاری پیچیده در فرآیند ساخت liblzma است. به طور خاص، یک فایل شی از پیش ساخته شده از یک فایل آزمایشی مبدل در کد منبع استخراج می شود. سپس از این فایل شیء برای تغییر توابع خاص در کد liblzma استفاده می‌شود و این سازش را تداوم می‌بخشد.

آسیب‌پذیری CVE-2024-3094 به مهاجمان اجازه می‌دهد تا بارهای دلخواه ارسال کنند.

این فرآیند تهدید کننده منجر به نسخه اصلاح شده ای از کتابخانه liblzma می شود که قادر به رهگیری و تغییر تعاملات داده با هر نرم افزاری است که از آن استفاده می کند.

به طور دقیق تر، کد بد تعبیه شده در کتابخانه برای مختل کردن فرآیند sshd daemon، جزء SSH (Secure Shell)، از طریق مجموعه نرم افزار systemd ساخته شده است. این دستکاری به طور بالقوه به عامل تهدید این امکان را می دهد که احراز هویت sshd را به خطر بیاندازد و به طور غیرقانونی به سیستم از راه دور دسترسی داشته باشد، مشروط به رعایت شرایط خاص.

هدف نهایی درب پشتی مضر معرفی شده توسط CVE-2024-3094 این است که کد را به سرور OpenSSH (SSHD) در حال اجرا بر روی ماشین قربانی تزریق کند. این به مهاجمان از راه دور خاص، با داشتن یک کلید خصوصی خاص، امکان می دهد تا بارهای دلخواه خود را از طریق SSH ارسال کنند. این محموله‌ها قبل از مرحله احراز هویت اجرا می‌شوند و به طور مؤثر کنترل کل سیستم قربانی را در دست می‌گیرند.

آسیب‌پذیری CVE-2024-3094 احتمالاً عمداً توسط یک بازیگر مرتبط با کلاهبرداری معرفی شده است

به نظر می رسد که کد مخرب پیچیده پنهان شده از طریق یک توالی چهار تعهد به پروژه Tukaani در GitHub توسط کاربری به نام Jia Tan (JiaT75) ادغام شده است.

با در نظر گرفتن فعالیت مستمر چند هفته ای، نشان می دهد که committer یا مستقیماً درگیر است یا سیستم خود را به خطر انداخته است. با این حال، سناریوی دوم با توجه به مشارکت آنها در انجمن های مختلف در مورد "اصلاحات" ادعایی کمتر قابل قبول به نظر می رسد.

GitHub که اکنون تحت مالکیت مایکروسافت است، با غیرفعال کردن مخزن XZ Utils که توسط Tukaani Project مدیریت می‌شود، به دلیل نقض شرایط سرویس GitHub اقدام کرده است. تاکنون گزارشی مبنی بر بهره برداری فعال در طبیعت گزارش نشده است.

بررسی‌ها نشان می‌دهد که این بسته‌های در معرض خطر منحصراً در توزیع‌های Fedora 41 و Fedora Rawhide یافت می‌شوند. سایر توزیع‌های اصلی مانند Alpine Linux، Amazon Linux، Debian Stable، Gentoo Linux، Linux Mint، Red Hat Enterprise Linux (RHEL)، SUSE Linux Enterprise and Leap و Ubuntu تحت تأثیر این مشکل امنیتی قرار نگرفته‌اند.

کاهش آسیب پذیری CVE-2024-3094 Backdoor

به کاربران فدورا لینوکس 40 توصیه شده است که به نسخه 5.4 برگردند. علاوه بر این، چندین توزیع دیگر لینوکس تحت تأثیر حمله زنجیره تامین قرار گرفته اند، از جمله:

Arch Linux (محیط نصب 2024.03.01، تصاویر ماشین مجازی 20240301.218094 و 20240315.221711، و تصاویر کانتینر ایجاد شده بین 24 فوریه 2024 و 28 مارس 2024)

• Kali Linux (بین 26 مارس تا 29 مارس)
• openSUSE Tumbleweed و openSUSE MicroOS (بین 7 مارس و 28 مارس)
• نسخه های آزمایشی، ناپایدار و آزمایشی دبیان (از 5.5.1alpha-0.1 تا 5.6.1-1)

این پیشرفت آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را وادار کرد تا هشدار خود را صادر کند و به کاربران توصیه کند که XZ Utils را به نسخه‌ای که تحت تأثیر این سازش قرار نگرفته است، مانند XZ Utils 5.4.6 Stable برگردانند.