CVE-2024-3094 pažeidžiamumas (XZ Backdoor)
Saugumo analitikai neseniai atrado kritinį pažeidžiamumą, kuris gali turėti niokojančių pasekmių. Remiantis skubiais saugumo patarimais, dvi plačiai naudojamo duomenų glaudinimo įrankio XZ Utils (anksčiau vadinto LZMA Utils) iteracijos buvo pažeistos kenkėjišku kodu. Šis kodas įgalina neteisėtą nuotolinę prieigą prie paveiktų sistemų.
Šis saugos pažeidimas, identifikuotas kaip CVE-2024-3094, įvertintas 10,0 CVSS balu, o tai reiškia aukščiausią sunkumo lygį. Tai turi įtakos XZ Utils versijoms 5.6.0 (išleista 2024 m. vasario 24 d.) ir 5.6.1 (išleista 2024 m. kovo 9 d.).
Išnaudojimas apima sudėtingą liblzma kūrimo proceso manipuliavimą. Tiksliau, iš anksto sukurtas objekto failas ištraukiamas iš paslėpto bandomojo failo šaltinio kode. Tada šis objekto failas naudojamas konkrečioms liblzma kodo funkcijoms pakeisti, taip įamžinant kompromisą.
Turinys
CVE-2024-3094 pažeidžiamumas leidžia užpuolikams siųsti savavališkus naudingus krovinius
Grėsmingas procesas veda prie modifikuotos liblzma bibliotekos versijos, galinčios perimti ir keisti duomenų sąveiką su bet kokia ją naudojančia programine įranga.
Tiksliau, blogas kodas, įterptas į biblioteką, yra sukurtas taip, kad sutrikdytų sshd demono procesą, SSH (Secure Shell) komponentą, naudojant sistemos programinės įrangos paketą. Šis manipuliavimas gali suteikti grėsmės veikėjui galimybę pažeisti sshd autentifikavimą ir neteisėtai pasiekti sistemą nuotoliniu būdu, jei įvykdomos tam tikros sąlygos.
Galutinis žalingų užpakalinių durų, įdiegtų CVE-2024-3094, tikslas yra įvesti kodą į OpenSSH serverį (SSHD), veikiantį nukentėjusiame kompiuteryje. Tai leistų konkretiems nuotoliniams užpuolikams, turintiems konkretų privatų raktą, siųsti savavališkus naudingus krovinius per SSH. Šios naudingosios apkrovos būtų vykdomos prieš autentifikavimo etapą, veiksmingai perimant visos nukentėjusios sistemos kontrolę.
CVE-2024-3094 pažeidžiamumą greičiausiai tyčia įnešė su sukčiavimu susijęs veikėjas
Atrodo, kad sudėtingai paslėptą kenkėjišką kodą vartotojas, identifikuotas kaip Jia Tan (JiaT75), integravo per keturis įsipareigojimus Tukaani projektui GitHub tinkle.
Atsižvelgiant į nuolatinę, kelias savaites trunkančią veiklą, galima daryti prielaidą, kad įsipareigojęs asmuo yra tiesiogiai susijęs arba patyręs didelį savo sistemos pažeidimą. Tačiau pastarasis scenarijus atrodo mažiau tikėtinas, atsižvelgiant į jų dalyvavimą įvairiuose forumuose dėl tariamų „pataisymų“.
„GitHub“, dabar priklausantis „Microsoft“, ėmėsi veiksmų išaktyvindamas „XZ Utils“ saugyklą, valdomą „Tukaani Project“, motyvuodamas „GitHub“ paslaugų teikimo sąlygų pažeidimu. Kol kas pranešimų apie aktyvų naudojimą laukinėje gamtoje nebuvo.
Tyrimai rodo, kad šie pažeisti paketai išskirtinai randami Fedora 41 ir Fedora Rawhide platinimuose. Kiti pagrindiniai platinimai, tokie kaip „Alpine Linux“, „Amazon Linux“, „Debian Stable“, „Gentoo Linux“, „Linux Mint“, „Red Hat Enterprise Linux“ (RHEL), „SUSE Linux Enterprise and Leap“ ir „Ubuntu“, lieka nepaveikti šios saugos problemos.
CVE-2024-3094 galinių durų pažeidžiamumo mažinimas
„Fedora Linux 40“ naudotojams buvo patarta grįžti prie 5.4 versijos. Be to, tiekimo grandinės ataka paveikė keletą kitų Linux platinimų, įskaitant:
„Arch Linux“ (diegimo terpė 2024.03.01, virtualios mašinos vaizdai 20240301.218094 ir 20240315.221711 ir konteinerio vaizdai, sukurti nuo 2024 m. vasario 24 d. iki 2024 m. kovo 28 d.)
- Kali Linux (nuo kovo 26 d. iki kovo 29 d.)
- openSUSE Tumbleweed ir openSUSE MicroOS (nuo kovo 7 d. iki kovo 28 d.)
- Debian testavimo, nestabilios ir eksperimentinės versijos (nuo 5.5.1alpha-0.1 iki 5.6.1-1)
Ši plėtra paskatino JAV kibernetinio saugumo ir infrastruktūros saugumo agentūrą (CISA) paskelbti savo įspėjimą, patardama vartotojams grąžinti XZ Utils versiją, kuriai kompromisas nepaveiktas, pvz., XZ Utils 5.4.6 Stable.
