Kerentanan CVE-2024-3094 (Pintu Belakang XZ)

Penganalisis keselamatan baru-baru ini menemui kelemahan kritikal dengan kesan yang berpotensi memusnahkan. Menurut nasihat keselamatan segera, dua lelaran alat pemampatan data yang digunakan secara meluas, XZ Utils (dahulunya dikenali sebagai LZMA Utils), telah dikompromi dengan kod hasad. Kod ini membolehkan akses jauh tanpa kebenaran kepada sistem yang terjejas.

Pelanggaran keselamatan ini, yang dikenal pasti sebagai CVE-2024-3094, dinilai dengan skor CVSS 10.0, menandakan tahap keterukan tertinggi. Ia mempengaruhi versi 5.6.0 (dikeluarkan pada 24 Februari 2024) dan 5.6.1 (dikeluarkan pada 9 Mac 2024) XZ Utils.

Eksploitasi melibatkan manipulasi canggih proses binaan liblzma. Khususnya, fail objek prabina diekstrak daripada fail ujian yang disamarkan dalam kod sumber. Fail objek ini kemudiannya digunakan untuk mengubah fungsi tertentu dalam kod liblzma, mengekalkan kompromi.

Kerentanan CVE-2024-3094 Membolehkan Penyerang Menghantar Muatan Sewenang-wenangnya

Proses mengancam membawa kepada versi pustaka liblzma yang diubah suai, yang mampu memintas dan mengubah interaksi data dengan mana-mana perisian yang menggunakannya.

Lebih tepat lagi, kod buruk yang tertanam dalam perpustakaan dibuat untuk mengganggu proses daemon sshd, komponen SSH (Secure Shell), melalui suite perisian systemd. Manipulasi ini berpotensi memberikan aktor ancaman keupayaan untuk menjejaskan pengesahan sshd dan secara haram mengakses sistem dari jauh, bergantung pada syarat tertentu dipenuhi.

Matlamat utama pintu belakang berbahaya yang diperkenalkan oleh CVE-2024-3094 adalah untuk menyuntik kod ke dalam pelayan OpenSSH (SSHD) yang dijalankan pada mesin yang menjadi mangsa. Ini akan membolehkan penyerang jauh tertentu, yang memiliki kunci peribadi tertentu, untuk menghantar muatan sewenang-wenangnya melalui SSH. Muatan ini akan dilaksanakan sebelum peringkat pengesahan, dengan berkesan merampas kawalan keseluruhan sistem yang menjadi mangsa.

Kerentanan CVE-2024-3094 Berkemungkinan Sengaja Diperkenalkan oleh Pelakon Berkaitan Penipuan

Kod berniat jahat yang disembunyikan secara rumit nampaknya telah disepadukan melalui urutan empat komitmen kepada Projek Tukaani di GitHub oleh pengguna yang dikenal pasti sebagai Jia Tan (JiaT75).

Memandangkan aktiviti berterusan yang menjangkau beberapa minggu, ia menunjukkan bahawa komitter sama ada terlibat secara langsung atau telah mengalami kompromi yang ketara terhadap sistem mereka. Walau bagaimanapun, senario terakhir kelihatan kurang munasabah, memandangkan penglibatan mereka di pelbagai forum mengenai 'pembetulan' yang dikatakan.

GitHub, kini di bawah pemilikan Microsoft, telah mengambil tindakan dengan menyahaktifkan repositori XZ Utils yang diuruskan oleh Projek Tukaani, memetik pelanggaran syarat perkhidmatan GitHub. Sehingga kini, tiada laporan mengenai eksploitasi aktif di alam liar.

Siasatan menunjukkan bahawa pakej yang terjejas ini ditemui secara eksklusif dalam pengedaran Fedora 41 dan Fedora Rawhide. Pengedaran utama lain seperti Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise dan Leap, dan Ubuntu kekal tidak terjejas oleh isu keselamatan ini.

Mengurangkan Kerentanan Pintu Belakang CVE-2024-3094

Pengguna Fedora Linux 40 telah dinasihatkan untuk kembali kepada binaan 5.4. Selain itu, beberapa pengedaran Linux lain telah terjejas oleh serangan rantaian bekalan, termasuk:

Arch Linux (medium pemasangan 2024.03.01, imej mesin maya 20240301.218094 dan 20240315.221711 dan imej kontena yang dibuat antara 24 Februari 2024 dan 28 Mac 2024)

• Kali Linux (antara 26 Mac dan 29 Mac)
• openSUSE Tumbleweed dan openSUSE MicroOS (antara 7 Mac dan 28 Mac)
• Ujian Debian, tidak stabil dan versi percubaan (dari 5.5.1alpha-0.1 hingga 5.6.1-1)

Perkembangan ini telah mendorong Agensi Keselamatan Siber dan Infrastruktur (CISA) AS untuk mengeluarkan amarannya sendiri, menasihati pengguna untuk menukar semula XZ Utils kepada versi yang tidak terjejas oleh kompromi, seperti XZ Utils 5.4.6 Stable.