CVE-2024-3094 Vulnerability (XZ Backdoor)

מנתחי אבטחה גילו לאחרונה פגיעות קריטית עם השלכות הרסניות שעלולות להיות. על פי ייעוץ אבטחה דחוף, שתי איטרציות של כלי דחיסת הנתונים הנפוצים, XZ Utils (שנודע בעבר בשם LZMA Utils), נפגעו עם קוד זדוני. קוד זה מאפשר גישה מרחוק בלתי מורשית למערכות מושפעות.

פרצת אבטחה זו, המזוהה כ-CVE-2024-3094, מדורגת עם ציון CVSS של 10.0, המסמל את רמת החומרה הגבוהה ביותר. זה משפיע על גרסאות 5.6.0 (שוחררו ב-24 בפברואר 2024) ו-5.6.1 (שוחררו ב-9 במרץ 2024) של XZ Utils.

הניצול כרוך במניפולציה מתוחכמת של תהליך בניית ליבלזמה. באופן ספציפי, קובץ אובייקט שנבנה מראש מוחלץ מקובץ בדיקה מוסווה בתוך קוד המקור. קובץ אובייקט זה משמש לאחר מכן לשינוי פונקציות ספציפיות בתוך קוד liblzma, ומנציח את הפשרה.

הפגיעות של CVE-2024-3094 מאפשרת לתוקפים לשלוח מטענים שרירותיים

התהליך המאיים מוביל לגרסה שונה של ספריית liblzma, המסוגלת ליירט ולשנות אינטראקציות נתונים עם כל תוכנה שמשתמשת בה.

ליתר דיוק, הקוד השגוי המוטבע בספרייה נועד לשבש את תהליך ה-sshd daemon, רכיב של SSH (Secure Shell), דרך חבילת התוכנה המערכתית. מניפולציה זו עשויה להעניק לשחקן איום את היכולת לסכן את אימות ה-sshd ולגשת באופן לא חוקי למערכת מרחוק, מותנה בתנאים מסוימים.

המטרה הסופית של הדלת האחורית המזיקה שהוצגה על ידי CVE-2024-3094 היא להחדיר קוד לשרת OpenSSH (SSHD) הפועל על המחשב שנפגע. זה יאפשר לתוקפים מרוחקים ספציפיים, ברשותם מפתח פרטי מסוים, לשלוח מטענים שרירותיים באמצעות SSH. מטענים אלה יבוצעו לפני שלב האימות, ויתפסו למעשה את השליטה על כל המערכת שנפגעה.

פגיעות CVE-2024-3094 כנראה הוצגה בכוונה על ידי שחקן הקשור להונאה

נראה שהקוד הזדוני הנסתר בצורה מורכבת שולב באמצעות רצף של ארבע התחייבויות לפרויקט Tukaani ב-GitHub על ידי משתמש שזוהה כ-Jia Tan (JiaT75).

בהתחשב בפעילות המתמשכת שנמשכת מספר שבועות, זה מצביע על כך שהמתחייב מעורב ישירות או שחווה פשרה משמעותית של המערכת שלו. עם זאת, התרחיש האחרון נראה פחות סביר, בהתחשב בעיסוקם בפורומים שונים בנוגע ל'תיקונים' לכאורה.

GitHub, כעת בבעלותה של מיקרוסופט, נקטה פעולה על ידי השבתת מאגר XZ Utils המנוהל על ידי פרויקט Tukaani, תוך ציון הפרה של תנאי השירות של GitHub. נכון לעכשיו, לא היו דיווחים על ניצול פעיל בטבע.

מחקרים מצביעים על כך שהחבילות שנפרצו נמצאות אך ורק בהפצות של Fedora 41 ו-Fedora Rawhide. הפצות גדולות אחרות כגון Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap, ואובונטו נותרות לא מושפעות מבעיית אבטחה זו.

צמצום הפגיעות של CVE-2024-3094 בדלת אחורית

למשתמשי Fedora Linux 40 הומלץ לחזור לגרסה 5.4. בנוסף, מספר הפצות לינוקס אחרות הושפעו מהתקפת שרשרת האספקה, כולל:

Arch Linux (מדיום התקנה 2024.03.01, תמונות מכונות וירטואליות 20240301.218094 ו-20240315.221711, ותמונות מיכל שנוצרו בין 24 בפברואר 2024 ו-28 במרץ 2024)

• קאלי לינוקס (בין 26 במרץ ל-29 במרץ)
• openSUSE Tumbleweed ו-openSUSE MicroOS (בין 7 במרץ ל-28 במרץ)
• בדיקות דביאן, גרסאות לא יציבות וניסיוניות (הנעות בין 5.5.1alpha-0.1 ל-5.6.1-1)

פיתוח זה גרם לסוכנות האבטחה והתשתית האמריקאית (CISA) לפרסם התראה משלה, הממליצה למשתמשים להחזיר את XZ Utils לגרסה שאינה מושפעת מהפשרה, כגון XZ Utils 5.4.6 Stable.