CVE-2024-3094 भेद्यता (XZ पिछला दरवाजा)

सुरक्षा विश्लेषकों ने हाल ही में संभावित विनाशकारी परिणामों वाली एक महत्वपूर्ण भेद्यता की खोज की है। एक तत्काल सुरक्षा सलाह के अनुसार, व्यापक रूप से उपयोग किए जाने वाले डेटा कम्प्रेशन टूल, XZ यूटिल्स (जिसे पहले LZMA यूटिल्स के नाम से जाना जाता था) के दो पुनरावृत्तियों को दुर्भावनापूर्ण कोड के साथ समझौता किया गया है। यह कोड प्रभावित सिस्टम तक अनधिकृत दूरस्थ पहुंच को सक्षम बनाता है।

सीवीई-2024-3094 के रूप में पहचाने गए इस सुरक्षा उल्लंघन को 10.0 के सीवीएसएस स्कोर के साथ रेट किया गया है, जो गंभीरता के उच्चतम स्तर को दर्शाता है। यह XZ यूटिल्स के संस्करण 5.6.0 (24 फरवरी, 2024 को जारी) और 5.6.1 (9 मार्च, 2024 को जारी) को प्रभावित करता है।

शोषण में लिब्ल्ज़मा निर्माण प्रक्रिया का एक परिष्कृत हेरफेर शामिल है। विशेष रूप से, एक पूर्वनिर्मित ऑब्जेक्ट फ़ाइल को स्रोत कोड के भीतर एक छिपी हुई परीक्षण फ़ाइल से निकाला जाता है। इस ऑब्जेक्ट फ़ाइल का उपयोग समझौते को कायम रखते हुए, लिब्ज़मा कोड के भीतर विशिष्ट कार्यों को बदलने के लिए किया जाता है।

CVE-2024-3094 भेद्यता हमलावरों को मनमाना पेलोड भेजने की अनुमति देती है

यह धमकी देने वाली प्रक्रिया लिबल्ज़मा लाइब्रेरी के एक संशोधित संस्करण की ओर ले जाती है, जो इसका उपयोग करने वाले किसी भी सॉफ़्टवेयर के साथ डेटा इंटरैक्शन को इंटरसेप्ट करने और बदलने में सक्षम है।

अधिक सटीक रूप से, लाइब्रेरी के भीतर एम्बेडेड खराब कोड को सिस्टम सॉफ्टवेयर सूट के माध्यम से एसएसएचडी डेमॉन प्रक्रिया, एसएसएच (सिक्योर शेल) के एक घटक को बाधित करने के लिए तैयार किया गया है। यह हेरफेर संभावित रूप से एक खतरे वाले अभिनेता को एसएसएचडी प्रमाणीकरण से समझौता करने और कुछ शर्तों के पूरा होने पर, सिस्टम को दूरस्थ रूप से एक्सेस करने की क्षमता प्रदान करता है।

CVE-2024-3094 द्वारा शुरू किए गए हानिकारक पिछले दरवाजे का अंतिम उद्देश्य पीड़ित मशीन पर चल रहे ओपनएसएसएच सर्वर (एसएसएचडी) में कोड इंजेक्ट करना है। यह विशिष्ट दूरस्थ हमलावरों को, जिनके पास एक विशेष निजी कुंजी है, SSH के माध्यम से मनमाना पेलोड भेजने में सक्षम करेगा। ये पेलोड प्रमाणीकरण चरण से पहले निष्पादित होंगे, जिससे संपूर्ण पीड़ित प्रणाली का नियंत्रण प्रभावी ढंग से जब्त हो जाएगा।

CVE-2024-3094 भेद्यता संभवतः धोखाधड़ी से संबंधित अभिनेता द्वारा जानबूझकर पेश की गई थी

ऐसा प्रतीत होता है कि जटिल रूप से छिपाए गए दुर्भावनापूर्ण कोड को जिया टैन (जियाटी75) नामक उपयोगकर्ता द्वारा गिटहब पर तुकानी प्रोजेक्ट में चार प्रतिबद्धताओं के अनुक्रम के माध्यम से एकीकृत किया गया है।

कई हफ्तों तक चली निरंतर गतिविधि को ध्यान में रखते हुए, यह पता चलता है कि दोषी को या तो सीधे तौर पर फंसाया गया है या उसने अपने सिस्टम के साथ एक महत्वपूर्ण समझौते का अनुभव किया है। हालाँकि, कथित 'सुधारों' के संबंध में विभिन्न मंचों पर उनकी भागीदारी को देखते हुए, बाद वाला परिदृश्य कम प्रशंसनीय लगता है।

GitHub, जो अब Microsoft के स्वामित्व में है, ने GitHub की सेवा की शर्तों के उल्लंघन का हवाला देते हुए तुकानी प्रोजेक्ट द्वारा प्रबंधित XZ Utils रिपॉजिटरी को निष्क्रिय करके कार्रवाई की है। अब तक, जंगल में सक्रिय शोषण की कोई रिपोर्ट नहीं मिली है।

जांच से पता चलता है कि ये समझौता किए गए पैकेज विशेष रूप से फेडोरा 41 और फेडोरा रॉहाइड वितरण में पाए जाते हैं। अन्य प्रमुख वितरण जैसे अल्पाइन लिनक्स, अमेज़ॅन लिनक्स, डेबियन स्टेबल, जेंटू लिनक्स, लिनक्स मिंट, रेड हैट एंटरप्राइज लिनक्स (आरएचईएल), एसयूएसई लिनक्स एंटरप्राइज और लीप, और उबंटू इस सुरक्षा समस्या से अप्रभावित रहते हैं।

CVE-2024-3094 बैकडोर भेद्यता को कम करना

फेडोरा लिनक्स 40 के उपयोगकर्ताओं को 5.4 बिल्ड पर वापस जाने की सलाह दी गई है। इसके अतिरिक्त, कई अन्य लिनक्स वितरण आपूर्ति श्रृंखला हमले से प्रभावित हुए हैं, जिनमें शामिल हैं:

आर्क लिनक्स (इंस्टॉलेशन माध्यम 2024.03.01, वर्चुअल मशीन छवियाँ 20240301.218094 और 20240315.221711, तथा 24 फ़रवरी, 2024 और 28 मार्च, 2024 के बीच निर्मित कंटेनर छवियाँ)

• काली लिनक्स (26 मार्च से 29 मार्च के बीच)
• ओपनएसयूएसई टम्बलवीड और ओपनएसयूएसई माइक्रोओएस (7 मार्च से 28 मार्च के बीच)
• डेबियन परीक्षण, अस्थिर और प्रायोगिक संस्करण (5.5.1alpha-0.1 से 5.6.1-1 तक)

इस घटनाक्रम के कारण अमेरिकी साइबर सुरक्षा एवं अवसंरचना सुरक्षा एजेंसी (CISA) ने अपना स्वयं का अलर्ट जारी किया है, जिसमें उपयोगकर्ताओं को XZ Utils को इस समझौते से अप्रभावित संस्करण, जैसे कि XZ Utils 5.4.6 Stable, पर वापस लाने की सलाह दी गई है।