CVE-2024-3094 biztonsági rés (XZ Backdoor)

Biztonsági elemzők a közelmúltban felfedeztek egy kritikus sérülékenységet, amely potenciálisan pusztító következményekkel járhat. Egy sürgős biztonsági figyelmeztetés szerint a széles körben használt adattömörítő eszköz, az XZ Utils (korábbi nevén LZMA Utils) két iterációját feltörték rosszindulatú kóddal. Ez a kód lehetővé teszi az illetéktelen távoli hozzáférést az érintett rendszerekhez.

Ez a CVE-2024-3094-ként azonosított biztonsági incidens 10,0 CVSS-pontszámmal rendelkezik, ami a legmagasabb szintű súlyosságot jelenti. Az XZ Utils 5.6.0-s (2024. február 24-én jelent meg) és 5.6.1-es (2024. március 9-én) verzióját érinti.

Az exploit magában foglalja a liblzma build folyamatának kifinomult manipulációját. Pontosabban, egy előre elkészített objektumfájl a forráskódon belüli rejtett tesztfájlból kerül kibontásra. Ezt az objektumfájlt ezután a liblzma kód bizonyos függvényeinek módosítására használják, fenntartva a kompromisszumot.

A CVE-2024-3094 biztonsági rés lehetővé teszi a támadók számára, hogy önkényes rakományokat küldjenek

A fenyegető folyamat a liblzma könyvtár módosított változatához vezet, amely képes elfogni és megváltoztatni az adatkölcsönhatásokat bármely szoftverrel, amely ezt használja.

Pontosabban, a könyvtárba beágyazott rossz kód úgy van kialakítva, hogy megzavarja az sshd démon folyamatot, az SSH (Secure Shell) egyik összetevőjét a systemd szoftvercsomagon keresztül. Ez a manipuláció potenciálisan lehetőséget ad a fenyegetés szereplőjének, hogy kompromittálja az sshd hitelesítést és illegálisan távolról hozzáférjen a rendszerhez, bizonyos feltételek teljesülése esetén.

A CVE-2024-3094 által bevezetett káros hátsó ajtó végső célja, hogy kódot fecskendezzen be az áldozattá vált gépen futó OpenSSH szerverbe (SSHD). Ez lehetővé tenné a távoli támadók számára, hogy egy adott privát kulcs birtokában tetszőleges hasznos adatokat küldjenek el SSH-n keresztül. Ezek a rakományok a hitelesítési szakasz előtt futnának le, hatékonyan átveve az irányítást a teljes áldozattá vált rendszer felett.

A CVE-2024-3094 biztonsági rést valószínűleg szándékosan vezette be egy csalással kapcsolatos szereplő

Úgy tűnik, hogy a bonyolultan elrejtett rosszindulatú kódot egy Jia Tan (JiaT75) néven azonosított felhasználó a GitHubon található Tukaani Project négy commit-sorozatán keresztül integrálta.

Figyelembe véve a több hétig tartó folyamatos tevékenységet, ez arra utal, hogy az elkövető vagy közvetlenül érintett, vagy jelentős kompromittációt tapasztalt a rendszerében. Az utóbbi forgatókönyv azonban kevésbé tűnik hihetőnek, tekintettel arra, hogy különféle fórumokon részt vesznek az állítólagos „javításokkal”.

A GitHub, amely immár a Microsoft tulajdona, a GitHub szolgáltatási feltételeinek megsértésére hivatkozva intézkedett a Tukaani Project által kezelt XZ Utils adattár deaktiválásával. Egyelőre nem érkezett jelentés a vadon élő aktív kizsákmányolásról.

A vizsgálatok azt mutatják, hogy ezek a feltört csomagok kizárólag a Fedora 41 és a Fedora Rawhide disztribúciókban találhatók. Más nagyobb disztribúciókat, mint például az Alpine Linux, az Amazon Linux, a Debian Stable, a Gentoo Linux, a Linux Mint, a Red Hat Enterprise Linux (RHEL), a SUSE Linux Enterprise and Leap és az Ubuntu továbbra sem érinti ez a biztonsági probléma.

A CVE-2024-3094 hátsó ajtó biztonsági résének enyhítése

A Fedora Linux 40 felhasználóinak azt tanácsolták, hogy térjenek vissza az 5.4-es verzióra. Ezenkívül számos más Linux disztribúciót is érintett az ellátási lánc támadása, többek között:

Arch Linux (telepítési adathordozó 2024.03.01, 20240301.218094 és 20240315.221711 virtuális gép lemezképek, valamint 2024. február 24. és 2024. március 28. között létrehozott konténerképek)

• Kali Linux (március 26. és március 29. között)
• openSUSE Tumbleweed és openSUSE MicroOS (március 7. és március 28. között)
• Debian tesztelési, instabil és kísérleti verziók (5.5.1alpha-0.1 és 5.6.1-1 között)

Ez a fejlemény arra késztette az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségét (CISA), hogy saját riasztást adjon ki, és azt tanácsolja a felhasználóknak, hogy állítsák vissza az XZ Utils-t a kompromisszum által nem érintett verzióra, például az XZ Utils 5.4.6 Stable-ra.