CVE-2024-3094 Ranjivost (XZ backdoor)
Sigurnosni analitičari nedavno su otkrili kritičnu ranjivost s potencijalno razornim posljedicama. Prema hitnom sigurnosnom savjetu, dvije iteracije naširoko korištenog alata za kompresiju podataka, XZ Utils (ranije poznat kao LZMA Utils), kompromitirane su zlonamjernim kodom. Ovaj kod omogućuje neovlašteni daljinski pristup pogođenim sustavima.
Ovo kršenje sigurnosti, identificirano kao CVE-2024-3094, ocijenjeno je s ocjenom CVSS od 10,0, što označava najvišu razinu ozbiljnosti. Utječe na verzije 5.6.0 (objavljena 24. veljače 2024.) i 5.6.1 (objavljena 9. ožujka 2024.) XZ Utilsa.
Eksploatacija uključuje sofisticiranu manipulaciju procesa izgradnje liblzme. Konkretno, unaprijed izgrađena objektna datoteka izvlači se iz prikrivene testne datoteke unutar izvornog koda. Ova objektna datoteka se zatim koristi za promjenu specifičnih funkcija unutar liblzma koda, održavajući kompromis.
Sadržaj
Ranjivost CVE-2024-3094 omogućuje napadačima slanje proizvoljnih korisnih podataka
Prijeteći proces vodi do modificirane verzije biblioteke liblzma, sposobne presresti i promijeniti podatkovne interakcije s bilo kojim softverom koji je koristi.
Točnije, loš kod ugrađen u biblioteku stvoren je da prekine sshd daemon proces, komponentu SSH (Secure Shell), kroz programski paket systemd. Ova manipulacija potencijalno daje akteru prijetnje mogućnost kompromitiranja autentikacije sshd-a i nedozvoljenog udaljenog pristupa sustavu, ovisno o ispunjavanju određenih uvjeta.
Krajnji cilj štetnog backdoor-a koji je uveo CVE-2024-3094 je ubacivanje koda u OpenSSH poslužitelj (SSHD) koji radi na viktimiziranom računalu. To bi omogućilo specifičnim udaljenim napadačima, koji posjeduju određeni privatni ključ, da šalju proizvoljne korisničke podatke putem SSH-a. Ta bi se opterećenja izvršila prije faze autentifikacije, učinkovito preuzimajući kontrolu nad cijelim viktimiziranim sustavom.
Ranjivost CVE-2024-3094 vjerojatno je namjerno unio akter povezan s prijevarom
Čini se da je zamršeno skriveni zlonamjerni kod korisnik identificiran kao Jia Tan (JiaT75) integrirao kroz slijed od četiri obveza u projekt Tukaani na GitHubu.
Uzimajući u obzir kontinuiranu aktivnost koja je trajala nekoliko tjedana, to sugerira da je izvršitelj ili izravno upleten ili je doživio značajnu kompromitaciju svog sustava. Međutim, potonji scenarij čini se manje vjerojatnim, s obzirom na njihov angažman na raznim forumima u vezi s navodnim 'popravcima'.
GitHub, koji je sada u vlasništvu Microsofta, poduzeo je akciju deaktiviranjem XZ Utils repozitorija kojim upravlja Tukaani Project, navodeći kršenje GitHubovih uvjeta pružanja usluge. Do sada nema izvješća o aktivnom iskorištavanju u divljini.
Istrage pokazuju da se ti kompromitirani paketi nalaze isključivo u distribucijama Fedora 41 i Fedora Rawhide. Druge velike distribucije kao što su Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise i Leap te Ubuntu ostaju nepromijenjene ovim sigurnosnim problemom.
Ublažavanje CVE-2024-3094 backdoor ranjivosti
Korisnicima Fedora Linuxa 40 savjetovano je da se vrate na verziju 5.4. Osim toga, nekoliko drugih distribucija Linuxa pogođeno je napadom lanca opskrbe, uključujući:
Arch Linux (medij za instalaciju 2024.03.01, slike virtualnog stroja 20240301.218094 i 20240315.221711 i slike spremnika stvorene između 24. veljače 2024. i 28. ožujka 2024.)
- Kali Linux (između 26. i 29. ožujka)
- openSUSE Tumbleweed i openSUSE MicroOS (između 7. ožujka i 28. ožujka)
- Debian testiranje, nestabilne i eksperimentalne verzije (u rasponu od 5.5.1alpha-0.1 do 5.6.1-1)
Ovaj razvoj događaja potaknuo je američku Agenciju za kibernetičku sigurnost i sigurnost infrastrukture (CISA) da izda vlastito upozorenje, savjetujući korisnike da vrate XZ Utils na verziju na koju kompromis ne utječe, kao što je XZ Utils 5.4.6 Stable.
