CVE-2024-3094 जोखिम (XZ ब्याकडोर)

सुरक्षा विश्लेषकहरूले भर्खरै सम्भावित विनाशकारी नतिजाहरूको साथ एक महत्वपूर्ण जोखिम पत्ता लगाएका छन्। अत्यावश्यक सुरक्षा सल्लाहका अनुसार, व्यापक रूपमा प्रयोग हुने डाटा कम्प्रेसन उपकरण, XZ Utils (पहिले LZMA Utils भनेर चिनिने) को दुई पुनरावृत्तिहरू मालिसियस कोडसँग सम्झौता गरिएको छ। यो कोडले प्रभावित प्रणालीहरूमा अनाधिकृत रिमोट पहुँच सक्षम गर्दछ।

यो सुरक्षा उल्लङ्घन, CVE-2024-3094 को रूपमा पहिचान गरिएको, 10.0 को CVSS स्कोरको साथ मूल्याङ्कन गरिएको छ, जसले गम्भीरताको उच्चतम स्तरलाई जनाउँछ। यसले XZ Utils को संस्करण 5.6.0 (फेब्रुअरी 24, 2024 मा जारी) र 5.6.1 (मार्च 9, 2024 मा जारी) लाई असर गर्छ।

शोषणमा liblzma निर्माण प्रक्रियाको परिष्कृत हेरफेर समावेश छ। विशेष रूपमा, एक पूर्वनिर्मित वस्तु फाइल स्रोत कोड भित्र एक प्रच्छन्न परीक्षण फाइलबाट निकालिएको छ। यो वस्तु फाइल त्यसपछि liblzma कोड भित्र विशिष्ट प्रकार्यहरू परिवर्तन गर्न प्रयोग गरिन्छ, सम्झौतालाई स्थायी गर्दै।

CVE-2024-3094 जोखिमले आक्रमणकारीहरूलाई मनमानी पेलोडहरू पठाउन अनुमति दिन्छ

धम्की दिने प्रक्रियाले liblzma पुस्तकालयको परिमार्जित संस्करणमा पुर्‍याउँछ, यसलाई प्रयोग गर्ने कुनै पनि सफ्टवेयरसँग डाटा अन्तरक्रियाहरूलाई अवरोध गर्न र परिवर्तन गर्न सक्षम हुन्छ।

अझ स्पष्ट रूपमा, पुस्तकालय भित्र इम्बेड गरिएको खराब कोड sshd डेमन प्रक्रिया, SSH (Secure Shell) को एक घटक, systemd सफ्टवेयर सुइट मार्फत बाधा पुर्‍याउनको लागि बनाइएको छ। यो हेरफेरले सम्भावित रूपमा खतरा अभिनेतालाई sshd प्रमाणीकरणमा सम्झौता गर्ने र अवैध रूपमा प्रणालीलाई टाढाबाट पहुँच गर्ने क्षमता प्रदान गर्दछ, निश्चित सर्तहरू पूरा भएको आकस्मिक रूपमा।

CVE-2024-3094 द्वारा प्रस्तुत हानिकारक ब्याकडोरको अन्तिम उद्देश्य पीडित मेसिनमा चलिरहेको OpenSSH सर्भर (SSHD) मा कोड इन्जेक्ट गर्नु हो। यसले SSH मार्फत स्वेच्छाचारी पेलोडहरू पठाउनको लागि, एक विशेष निजी कुञ्जीको स्वामित्वमा, विशिष्ट रिमोट आक्रमणकर्ताहरूलाई सक्षम पार्नेछ। यी पेलोडहरू प्रमाणीकरण चरण अघि कार्यान्वयन हुनेछ, प्रभावकारी रूपमा सम्पूर्ण पीडित प्रणालीको नियन्त्रण कब्जा।

CVE-2024-3094 जोखिमलाई ठगी-सम्बन्धित अभिनेताले जानाजानी पेश गरेको हुन सक्छ

जटिल रूपमा लुकाइएको मालिसियस कोड GitHub मा Tukaani प्रोजेक्टमा Jia Tan (JiaT75) को रूपमा पहिचान गरिएको प्रयोगकर्ताद्वारा चार कमिटहरूको अनुक्रम मार्फत एकीकृत गरिएको देखिन्छ।

धेरै हप्तासम्म फैलिएको दिगो गतिविधिलाई ध्यानमा राख्दै, यसले सुझाव दिन्छ कि कमिटर या त प्रत्यक्ष रूपमा संलग्न छन् वा तिनीहरूको प्रणालीमा महत्त्वपूर्ण सम्झौताको अनुभव भएको छ। यद्यपि, पछिल्ला परिदृश्य कम प्रशंसनीय देखिन्छ, कथित 'फिक्स' सम्बन्धी विभिन्न फोरमहरूमा उनीहरूको संलग्नतालाई ध्यानमा राख्दै।

GitHub, अहिले माइक्रोसफ्टको स्वामित्वमा रहेको, GitHub को सेवा सर्तहरूको उल्लङ्घन गरेको भन्दै Tukaani Project द्वारा व्यवस्थित XZ Utils भण्डारलाई निष्क्रिय गरेर कारबाही गरेको छ। अहिले सम्म, जंगली मा सक्रिय शोषण को कुनै रिपोर्ट गरिएको छैन।

अनुसन्धानले संकेत गर्दछ कि यी सम्झौता गरिएका प्याकेजहरू विशेष रूपमा फेडोरा 41 र फेडोरा राहाइड वितरणहरूमा पाइन्छ। Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise र Leap, र Ubuntu जस्ता अन्य प्रमुख वितरणहरू यस सुरक्षा समस्याबाट अप्रभावित रहन्छन्।

CVE-2024-3094 ब्याकडोर भेद्यता कम गर्दै

Fedora Linux 40 का प्रयोगकर्ताहरूलाई 5.4 बिल्डमा फर्कन सल्लाह दिइएको छ। थप रूपमा, धेरै अन्य लिनक्स वितरणहरू आपूर्ति श्रृंखला आक्रमणबाट प्रभावित भएका छन्, जसमा:

आर्क लिनक्स (स्थापना माध्यम 2024.03.01, भर्चुअल मेसिन छविहरू 20240301.218094 र 20240315.221711, र कन्टेनर छविहरू फेब्रुअरी 24, 2024 र मार्च 28, 2024 बीच सिर्जना गरिएको)

• काली लिनक्स (मार्च 26 र मार्च 29 बीच)
• OpenSUSE Tumbleweed र openSUSE MicroOS (मार्च 7 र मार्च 28 बीच)
• डेबियन परीक्षण, अस्थिर, र प्रयोगात्मक संस्करणहरू (५.५.१अल्फा-०.१ देखि ५.६.१-१ सम्म)

यस विकासले यूएस साइबरसेक्युरिटी र इन्फ्रास्ट्रक्चर सेक्युरिटी एजेन्सी (CISA) लाई आफ्नै अलर्ट जारी गर्न प्रेरित गरेको छ, प्रयोगकर्ताहरूलाई XZ Utils 5.4.6 Stable जस्ता सम्झौताबाट अप्रभावित संस्करणमा फर्काउन सल्लाह दिँदै।