CVE-2024-3094 ievainojamība (XZ Backdoor)
Drošības analītiķi nesen ir atklājuši kritisku ievainojamību ar potenciāli postošām sekām. Saskaņā ar steidzamu drošības ieteikumu divas plaši izmantotā datu saspiešanas rīka XZ Utils (iepriekš zināms kā LZMA Utils) iterācijas ir apdraudētas ar ļaunprātīgu kodu. Šis kods nodrošina nesankcionētu attālo piekļuvi ietekmētajām sistēmām.
Šis drošības pārkāpums, kas identificēts kā CVE-2024-3094, ir novērtēts ar CVSS punktu 10,0, kas norāda uz augstāko smaguma pakāpi. Tas ietekmē XZ Utils versijas 5.6.0 (izlaists 2024. gada 24. februārī) un 5.6.1 (izlaists 2024. gada 9. martā).
Ekspluatācija ietver sarežģītas manipulācijas ar liblzma veidošanas procesu. Konkrēti, iepriekš izveidots objekta fails tiek izvilkts no slēpta testa faila avota kodā. Pēc tam šis objekta fails tiek izmantots, lai mainītu noteiktas funkcijas liblzma kodā, saglabājot kompromisu.
Satura rādītājs
CVE-2024-3094 ievainojamība ļauj uzbrucējiem sūtīt patvaļīgas kravas
Draudēšanas process noved pie modificētas liblzma bibliotēkas versijas, kas spēj pārtvert un mainīt datu mijiedarbību ar jebkuru programmatūru, kas to izmanto.
Precīzāk, bibliotēkā iegultais sliktais kods ir izveidots, lai ar sistēmas programmatūras komplekta starpniecību izjauktu sshd dēmona procesu, kas ir SSH (Secure Shell) sastāvdaļa. Šī manipulācija potenciāli piešķir apdraudējuma dalībniekam iespēju kompromitēt sshd autentifikāciju un nelikumīgi piekļūt sistēmai attālināti, ja tiek izpildīti noteikti nosacījumi.
CVE-2024-3094 ieviestās kaitīgās aizmugures galvenais mērķis ir ievadīt kodu OpenSSH serverī (SSHD), kas darbojas cietušajā mašīnā. Tas ļautu konkrētiem attālinātiem uzbrucējiem, kuru rīcībā ir noteikta privātā atslēga, nosūtīt patvaļīgas slodzes, izmantojot SSH. Šīs derīgās slodzes tiktu izpildītas pirms autentifikācijas posma, efektīvi pārņemot kontroli pār visu cietušo sistēmu.
CVE-2024-3094 ievainojamību, iespējams, tīši ieviesa ar krāpšanu saistīts aktieris
Šķiet, ka sarežģīti slēptais ļaunprātīgais kods ir integrēts, izmantojot četras saistības Tukaani projektā GitHub vietnē, ko veicis lietotājs, kas identificēts kā Jia Tan (JiaT75).
Ņemot vērā ilgstošo darbību, kas aptver vairākas nedēļas, tas liecina, ka apņēmējs ir vai nu tieši iesaistīts, vai arī ir piedzīvojis būtisku savas sistēmas apdraudējumu. Tomēr pēdējais scenārijs šķiet mazāk ticams, ņemot vērā viņu iesaistīšanos dažādos forumos saistībā ar šķietamajiem "labojumiem".
GitHub, kas tagad ir Microsoft īpašumā, ir rīkojies, deaktivizējot XZ Utils repozitoriju, ko pārvalda Tukaani Project, atsaucoties uz GitHub pakalpojumu sniegšanas noteikumu pārkāpumu. Pagaidām nav ziņu par aktīvu izmantošanu savvaļā.
Izmeklējumi liecina, ka šīs apdraudētās pakotnes ir atrodamas tikai Fedora 41 un Fedora Rawhide izplatījumos. Citus lielākos izplatījumus, piemēram, Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap un Ubuntu, šī drošības problēma neietekmē.
CVE-2024-3094 aizmugures durvju ievainojamības mazināšana
Fedora Linux 40 lietotājiem ir ieteikts atgriezties pie 5.4 versijas. Turklāt piegādes ķēdes uzbrukums ir ietekmējis vairākus citus Linux izplatījumus, tostarp:
Arch Linux (instalācijas vide 2024.03.01, virtuālās mašīnas attēli 20240301.218094 un 20240315.221711 un konteinera attēli, kas izveidoti no 2024. gada 24. februāra līdz 2024. gada 28. martam)
- Kali Linux (no 26. līdz 29. martam)
- openSUSE Tumbleweed un openSUSE MicroOS (no 7. līdz 28. martam)
- Debian testēšanas, nestabilās un eksperimentālās versijas (no 5.5.1alpha-0.1 līdz 5.6.1-1)
Šī attīstība ir likusi ASV Kiberdrošības un infrastruktūras drošības aģentūrai (CISA) izdot savu brīdinājumu, iesakot lietotājiem atjaunot XZ Utils versiju, kuru kompromiss neietekmē, piemēram, XZ Utils 5.4.6 Stable.
