CVE-2024-3094-kwetsbaarheid (XZ-achterdeur)
Beveiligingsanalisten hebben onlangs een kritieke kwetsbaarheid ontdekt met mogelijk verwoestende gevolgen. Volgens een dringend beveiligingsadvies zijn twee iteraties van de veelgebruikte datacompressietool, XZ Utils (voorheen bekend als LZMA Utils), gecompromitteerd met kwaadaardige code. Deze code maakt ongeautoriseerde toegang op afstand tot de getroffen systemen mogelijk.
Deze inbreuk op de beveiliging, geïdentificeerd als CVE-2024-3094, wordt beoordeeld met een CVSS-score van 10,0, wat het hoogste niveau van ernst aangeeft. Het betreft versies 5.6.0 (uitgebracht op 24 februari 2024) en 5.6.1 (uitgebracht op 9 maart 2024) van XZ Utils.
De exploit omvat een geavanceerde manipulatie van het liblzma-bouwproces. Concreet wordt een vooraf gebouwd objectbestand geëxtraheerd uit een vermomd testbestand in de broncode. Dit objectbestand wordt vervolgens gebruikt om specifieke functies binnen de liblzma-code te wijzigen, waardoor het compromis wordt bestendigd.
Inhoudsopgave
Door het beveiligingslek CVE-2024-3094 kunnen aanvallers willekeurige ladingen verzenden
Dit bedreigende proces leidt tot een aangepaste versie van de liblzma-bibliotheek, die gegevensinteracties kan onderscheppen en wijzigen met alle software die er gebruik van maakt.
Om precies te zijn, de slechte code die in de bibliotheek is ingebed, is gemaakt om het sshd-daemonproces, een onderdeel van SSH (Secure Shell), te verstoren via de systemd-softwaresuite. Deze manipulatie geeft een bedreigingsacteur mogelijk de mogelijkheid om de sshd-authenticatie in gevaar te brengen en op afstand illegaal toegang te krijgen tot het systeem, afhankelijk van het voldoen aan bepaalde voorwaarden.
Het uiteindelijke doel van de schadelijke achterdeur geïntroduceerd door CVE-2024-3094 is het injecteren van code in de OpenSSH-server (SSHD) die op de getroffen machine draait. Dit zou specifieke aanvallers op afstand, die in het bezit zijn van een bepaalde privésleutel, in staat stellen willekeurige ladingen via SSH te verzenden. Deze payloads zouden vóór de authenticatiefase worden uitgevoerd, waardoor feitelijk de controle over het gehele slachtoffersysteem zou worden overgenomen.
Het beveiligingslek CVE-2024-3094 is waarschijnlijk opzettelijk geïntroduceerd door een fraudegerelateerde actor
De ingewikkeld verborgen kwaadaardige code lijkt te zijn geïntegreerd via een reeks van vier commits aan het Tukaani-project op GitHub door een gebruiker geïdentificeerd als Jia Tan (JiaT75).
Gezien de aanhoudende activiteit die verschillende weken bestrijkt, suggereert dit dat de committer ofwel direct betrokken is, ofwel een aanzienlijke inbreuk op zijn systeem heeft ervaren. Dit laatste scenario lijkt echter minder plausibel, gezien hun betrokkenheid op verschillende fora over de vermeende 'oplossingen'.
GitHub, nu eigendom van Microsoft, heeft actie ondernomen door de XZ Utils-repository te deactiveren die wordt beheerd door het Tukaani Project, daarbij verwijzend naar een schending van de servicevoorwaarden van GitHub. Tot nu toe zijn er geen meldingen geweest van actieve uitbuiting in het wild.
Onderzoek wijst uit dat deze gecompromitteerde pakketten uitsluitend gevonden worden in Fedora 41 en Fedora Rawhide distributies. Andere grote distributies zoals Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise en Leap, en Ubuntu blijven onaangetast door dit beveiligingsprobleem.
Beperking van het beveiligingslek in de backdoor CVE-2024-3094
Gebruikers van Fedora Linux 40 is geadviseerd om terug te keren naar een 5.4-build. Bovendien zijn verschillende andere Linux-distributies getroffen door de supply chain-aanval, waaronder:
Arch Linux (installatiemedium 2024.03.01, virtuele machine-images 20240301.218094 en 20240315.221711, en containerimages gemaakt tussen 24 februari 2024 en 28 maart 2024)
- Kali Linux (tussen 26 maart en 29 maart)
- openSUSE Tumbleweed en openSUSE MicroOS (tussen 7 maart en 28 maart)
- Debian-test-, onstabiele en experimentele versies (variërend van 5.5.1alpha-0.1 tot 5.6.1-1)
Deze ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet een eigen waarschuwing uit te geven, waarin gebruikers worden geadviseerd XZ Utils terug te zetten naar een versie die niet door het compromis wordt beïnvloed, zoals XZ Utils 5.4.6 Stable.
