CVE-2024-3094-haavoittuvuus (XZ-takaovi)
Tietoturva-analyytikot ovat hiljattain havainneet kriittisen haavoittuvuuden, jolla on mahdollisesti tuhoisia seurauksia. Kiireellisen tietoturvailmoituksen mukaan laajalti käytetyn tiedonpakkaustyökalun, XZ Utilsin (aiemmin LZMA Utils) kaksi iteraatiota on vaarantunut haitallisella koodilla. Tämä koodi mahdollistaa luvattoman etäkäytön kyseisiin järjestelmiin.
Tämä tietoturvaloukkaus, joka tunnetaan nimellä CVE-2024-3094, on luokiteltu CVSS-pisteeksi 10,0, mikä tarkoittaa korkeinta vakavuustasoa. Se vaikuttaa XZ Utilsin versioihin 5.6.0 (julkaistu 24. helmikuuta 2024) ja 5.6.1 (julkaistu 9. maaliskuuta 2024).
Hyödyntäminen sisältää liblzma-rakennusprosessin hienostuneen manipuloinnin. Tarkemmin sanottuna valmiiksi rakennettu objektitiedosto puretaan lähdekoodin peitetystä testitiedostosta. Tätä objektitiedostoa käytetään sitten muuttamaan tiettyjä toimintoja liblzma-koodissa, mikä säilyttää kompromissin.
Sisällysluettelo
CVE-2024-3094-haavoittuvuus sallii hyökkääjien lähettää mielivaltaisia hyötykuormia
Tämä uhkaava prosessi johtaa liblzma-kirjaston muokattuun versioon, joka pystyy sieppaamaan ja muuttamaan tietovuorovaikutuksia minkä tahansa sitä käyttävän ohjelmiston kanssa.
Tarkemmin sanottuna kirjastoon upotettu huono koodi on muotoiltu häiritsemään sshd-daemon-prosessia, joka on SSH:n (Secure Shell) osa, systemd-ohjelmistopaketin kautta. Tämä manipulointi antaa uhkatekijälle mahdollisuuden vaarantaa sshd-todennusta ja päästä laittomasti järjestelmään etäyhteyden kautta, jos tietyt ehdot täyttyvät.
CVE-2024-3094:n käyttöönoton haitallisen takaoven perimmäinen tarkoitus on syöttää koodia uhriksi joutuneella koneella toimivaan OpenSSH-palvelimeen (SSHD). Tämän ansiosta tietyt etähyökkääjät, joilla on tietty yksityinen avain, voivat lähettää mielivaltaisia hyötykuormia SSH:n kautta. Nämä hyötykuormat suoritettaisiin ennen todennusvaihetta ja ottaisivat tehokkaasti haltuunsa koko uhriksi joutuneen järjestelmän.
CVE-2024-3094-haavoittuvuus on todennäköisesti petokseen liittyvän toimijan tarkoituksella esille tuoma
Monimutkaisesti piilotettu haittakoodi näyttää integroineen neljän sitoumuksen kautta Tukaani-projektiin GitHubissa käyttäjältä, jonka nimi on Jia Tan (JiaT75).
Ottaen huomioon useiden viikkojen jatkuvan toiminnan, se viittaa siihen, että sitoutuja on joko suoraan osallisena tai hän on kokenut merkittävän vaaran järjestelmässään. Jälkimmäinen skenaario vaikuttaa kuitenkin vähemmän uskottavalta, kun otetaan huomioon heidän sitoutumisensa väitettyihin "korjauksiin" useilla foorumeilla.
Nyt Microsoftin omistuksessa oleva GitHub on ryhtynyt toimiin poistamalla Tukaani-projektin hallinnoiman XZ Utils -arkiston käytöstä, vedoten GitHubin käyttöehtojen rikkomiseen. Toistaiseksi ei ole raportoitu aktiivisesta hyväksikäytöstä luonnossa.
Tutkimukset osoittavat, että nämä vaarantuneet paketit löytyvät yksinomaan Fedora 41- ja Fedora Rawhide -jakeluista. Tämä tietoturvaongelma ei vaikuta muihin suuriin jakeluihin, kuten Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap ja Ubuntu.
CVE-2024-3094 takaoven haavoittuvuuden lieventäminen
Fedora Linux 40:n käyttäjiä on neuvottu palaamaan 5.4-koontiversioon. Lisäksi toimitusketjuhyökkäys on vaikuttanut useisiin muihin Linux-jakeluihin, mukaan lukien:
Arch Linux (asennusväline 2024.03.01, virtuaalikoneen kuvat 20240301.218094 ja 20240315.221711 sekä 24.2.2024 ja 28.3.2024 välisenä aikana luodut säilökuvat)
- Kali Linux (26.–29. maaliskuuta)
- openSUSE Tumbleweed ja openSUSE MicroOS (7.–28. maaliskuuta)
- Debianin testaus, epävakaat ja kokeelliset versiot (5.5.1alpha-0.1 - 5.6.1-1)
Tämä kehitys on saanut Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) antamaan oman varoituksensa, joka kehottaa käyttäjiä palauttamaan XZ Utils -version versioon, johon kompromissi ei vaikuta, kuten XZ Utils 5.4.6 Stable -versioon.
