CVE-2024-3094-sårbarhet (XZ Backdoor)

Sikkerhetsanalytikere har nylig oppdaget en kritisk sårbarhet med potensielt ødeleggende konsekvenser. I følge en presserende sikkerhetsrådgivning har to iterasjoner av det mye brukte datakomprimeringsverktøyet, XZ Utils (tidligere kjent som LZMA Utils), blitt kompromittert med ondsinnet kode. Denne koden muliggjør uautorisert ekstern tilgang til berørte systemer.

Dette sikkerhetsbruddet, identifisert som CVE-2024-3094, er vurdert med en CVSS-score på 10,0, noe som betyr det høyeste alvorlighetsnivået. Det påvirker versjon 5.6.0 (utgitt 24. februar 2024) og 5.6.1 (utgitt 9. mars 2024) av XZ Utils.

Utnyttelsen innebærer en sofistikert manipulering av liblzma byggeprosessen. Nærmere bestemt trekkes en forhåndsbygd objektfil ut fra en forkledd testfil i kildekoden. Denne objektfilen brukes deretter til å endre spesifikke funksjoner i liblzma-koden, og opprettholder kompromisset.

CVE-2024-3094-sårbarheten lar angripere sende vilkårlige nyttelaster

Den truende prosessen fører til en modifisert versjon av liblzma-biblioteket, som er i stand til å avskjære og endre datainteraksjoner med programvare som bruker det.

Mer presist er den dårlige koden innebygd i biblioteket laget for å forstyrre sshd-demonprosessen, en komponent av SSH (Secure Shell), gjennom systemprogramvarepakken. Denne manipulasjonen gir potensielt en trusselaktør muligheten til å kompromittere sshd-autentisering og ulovlig få tilgang til systemet eksternt, avhengig av at visse betingelser er oppfylt.

Det endelige målet med den skadelige bakdøren introdusert av CVE-2024-3094 er å injisere kode i OpenSSH-serveren (SSHD) som kjører på den utsatte maskinen. Dette vil gjøre det mulig for spesifikke eksterne angripere, i besittelse av en bestemt privat nøkkel, å sende vilkårlige nyttelaster via SSH. Disse nyttelastene vil utføres før autentiseringsstadiet, og effektivt ta kontroll over hele det utsatte systemet.

CVE-2024-3094-sårbarheten ble sannsynligvis introdusert med vilje av en svindelrelatert aktør

Den intrikate skjulte ondsinnede koden ser ut til å ha blitt integrert gjennom en sekvens på fire forpliktelser til Tukaani-prosjektet på GitHub av en bruker identifisert som Jia Tan (JiaT75).

Tatt i betraktning den vedvarende aktiviteten som strekker seg over flere uker, tyder det på at committeren enten er direkte involvert eller har opplevd et betydelig kompromittering av systemet deres. Det siste scenariet virker imidlertid mindre plausibelt, gitt deres engasjement på forskjellige fora angående de påståtte "fiksene".

GitHub, nå under eierskap av Microsoft, har iverksatt tiltak ved å deaktivere XZ Utils-depotet administrert av Tukaani-prosjektet, med henvisning til et brudd på GitHubs tjenestevilkår. Per nå har det ikke vært rapporter om aktiv utnyttelse i naturen.

Undersøkelser indikerer at disse kompromitterte pakkene utelukkende finnes i Fedora 41 og Fedora Rawhide-distribusjoner. Andre store distribusjoner som Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise og Leap, og Ubuntu forblir upåvirket av dette sikkerhetsproblemet.

Begrense sikkerhetsproblemet CVE-2024-3094 bakdør

Brukere av Fedora Linux 40 har blitt bedt om å gå tilbake til en 5.4 build. I tillegg har flere andre Linux-distribusjoner blitt påvirket av forsyningskjedeangrepet, inkludert:

Arch Linux (installasjonsmedium 2024.03.01, virtuelle maskinbilder 20240301.218094 og 20240315.221711, og beholderbilder opprettet mellom 24. februar 2024 og 28. mars 2024)

• Kali Linux (mellom 26. mars og 29. mars)
• openSUSE Tumbleweed og openSUSE MicroOS (mellom 7. mars og 28. mars)
• Debian-testing, ustabile og eksperimentelle versjoner (som strekker seg fra 5.5.1alpha-0.1 til 5.6.1-1)

Denne utviklingen har fått US Cybersecurity and Infrastructure Security Agency (CISA) til å utstede sitt eget varsel, og råder brukere til å tilbakestille XZ Utils til en versjon som ikke er påvirket av kompromisset, for eksempel XZ Utils 5.4.6 Stable.