CVE-2024-3094 ਕਮਜ਼ੋਰੀ (XZ ਬੈਕਡੋਰ)
ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਸੰਭਾਵੀ ਵਿਨਾਸ਼ਕਾਰੀ ਪ੍ਰਭਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ। ਇੱਕ ਜ਼ਰੂਰੀ ਸੁਰੱਖਿਆ ਸਲਾਹ ਦੇ ਅਨੁਸਾਰ, ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਡੇਟਾ ਕੰਪਰੈਸ਼ਨ ਟੂਲ, XZ Utils (ਪਹਿਲਾਂ LZMA Utils ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਸਨ) ਦੇ ਦੋ ਦੁਹਰਾਓ, ਖਤਰਨਾਕ ਕੋਡ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਕੋਡ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਰਿਮੋਟ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
ਇਹ ਸੁਰੱਖਿਆ ਉਲੰਘਣਾ, ਜਿਸ ਦੀ ਪਛਾਣ CVE-2024-3094 ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਨੂੰ 10.0 ਦੇ CVSS ਸਕੋਰ ਨਾਲ ਦਰਜਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਗੰਭੀਰਤਾ ਦੇ ਉੱਚੇ ਪੱਧਰ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਹ XZ Utils ਦੇ 5.6.0 (ਫਰਵਰੀ 24, 2024 ਨੂੰ ਜਾਰੀ) ਅਤੇ 5.6.1 (9 ਮਾਰਚ, 2024 ਨੂੰ ਜਾਰੀ) ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ।
ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਲਿਬਲਜ਼ਮਾ ਬਿਲਡ ਪ੍ਰਕਿਰਿਆ ਦੀ ਇੱਕ ਵਧੀਆ ਹੇਰਾਫੇਰੀ ਸ਼ਾਮਲ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇੱਕ ਪ੍ਰੀਬਿਲਟ ਆਬਜੈਕਟ ਫਾਈਲ ਨੂੰ ਸਰੋਤ ਕੋਡ ਦੇ ਅੰਦਰ ਇੱਕ ਭੇਸ ਵਾਲੀ ਟੈਸਟ ਫਾਈਲ ਤੋਂ ਕੱਢਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਆਬਜੈਕਟ ਫਾਈਲ ਫਿਰ ਲਿਬਲਜ਼ਮਾ ਕੋਡ ਦੇ ਅੰਦਰ ਖਾਸ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਬਦਲਣ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਸਮਝੌਤਾ ਨੂੰ ਕਾਇਮ ਰੱਖਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
CVE-2024-3094 ਕਮਜ਼ੋਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਆਰਬਿਟਰੇਰੀ ਪੇਲੋਡ ਭੇਜਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ
ਧਮਕੀ ਦੇਣ ਵਾਲੀ ਪ੍ਰਕਿਰਿਆ ਲਿਬਲਜ਼ਮਾ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਇੱਕ ਸੰਸ਼ੋਧਿਤ ਸੰਸਕਰਣ ਵੱਲ ਖੜਦੀ ਹੈ, ਜੋ ਕਿ ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਸੌਫਟਵੇਅਰ ਨਾਲ ਡੇਟਾ ਇੰਟਰਐਕਸ਼ਨ ਨੂੰ ਰੋਕਣ ਅਤੇ ਬਦਲਣ ਦੇ ਸਮਰੱਥ ਹੈ।
ਵਧੇਰੇ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ, ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਅੰਦਰ ਏਮਬੈਡ ਕੀਤੇ ਮਾੜੇ ਕੋਡ ਨੂੰ ਸਿਸਟਮਡ ਸੌਫਟਵੇਅਰ ਸੂਟ ਦੁਆਰਾ, SSH (ਸੁਰੱਖਿਅਤ ਸ਼ੈੱਲ) ਦੇ ਇੱਕ ਹਿੱਸੇ, sshd ਡੈਮਨ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਹੇਰਾਫੇਰੀ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ sshd ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਅਤੇ ਕੁਝ ਸ਼ਰਤਾਂ ਪੂਰੀਆਂ ਹੋਣ 'ਤੇ, ਰਿਮੋਟਲੀ ਸਿਸਟਮ ਤੱਕ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਪਹੁੰਚ ਕਰ ਸਕਦੀ ਹੈ।
CVE-2024-3094 ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਹਾਨੀਕਾਰਕ ਬੈਕਡੋਰ ਦਾ ਅੰਤਮ ਉਦੇਸ਼ ਪੀੜਤ ਮਸ਼ੀਨ 'ਤੇ ਚੱਲ ਰਹੇ OpenSSH ਸਰਵਰ (SSHD) ਵਿੱਚ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨਾ ਹੈ। ਇਹ ਖਾਸ ਰਿਮੋਟ ਹਮਲਾਵਰਾਂ ਨੂੰ, ਇੱਕ ਖਾਸ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਦੇ ਕਬਜ਼ੇ ਵਿੱਚ, SSH ਦੁਆਰਾ ਮਨਮਾਨੇ ਪੇਲੋਡਾਂ ਨੂੰ ਭੇਜਣ ਲਈ ਸਮਰੱਥ ਕਰੇਗਾ। ਇਹ ਪੇਲੋਡ ਪ੍ਰਮਾਣਿਕਤਾ ਪੜਾਅ ਤੋਂ ਪਹਿਲਾਂ ਲਾਗੂ ਹੋਣਗੇ, ਪ੍ਰਭਾਵੀ ਤੌਰ 'ਤੇ ਪੂਰੇ ਪੀੜਤ ਸਿਸਟਮ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਜ਼ਬਤ ਕਰਨਗੇ।
CVE-2024-3094 ਕਮਜ਼ੋਰੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਜਾਣਬੁੱਝ ਕੇ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਸੀ
ਗੁੰਝਲਦਾਰ ਢੰਗ ਨਾਲ ਛੁਪੇ ਹੋਏ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਜੀਆ ਟੈਨ (JiaT75) ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਗਿਟਹਬ 'ਤੇ ਟੂਕਾਨੀ ਪ੍ਰੋਜੈਕਟ ਲਈ ਚਾਰ ਕਮਿਟਾਂ ਦੇ ਕ੍ਰਮ ਦੁਆਰਾ ਏਕੀਕ੍ਰਿਤ ਕੀਤਾ ਗਿਆ ਜਾਪਦਾ ਹੈ।
ਕਈ ਹਫ਼ਤਿਆਂ ਤੱਕ ਫੈਲੀ ਨਿਰੰਤਰ ਗਤੀਵਿਧੀ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦੇ ਹੋਏ, ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਪ੍ਰਤੀਬੱਧ ਜਾਂ ਤਾਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਫਸਿਆ ਹੋਇਆ ਹੈ ਜਾਂ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮ ਨਾਲ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਮਝੌਤਾ ਹੋਇਆ ਹੈ। ਹਾਲਾਂਕਿ, ਬਾਅਦ ਵਾਲਾ ਦ੍ਰਿਸ਼ ਘੱਟ ਪ੍ਰਸੰਸਾਯੋਗ ਜਾਪਦਾ ਹੈ, ਵੱਖ-ਵੱਖ ਫੋਰਮਾਂ 'ਤੇ ਕਥਿਤ 'ਫਿਕਸ' ਦੇ ਸਬੰਧ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਦੇਖਦੇ ਹੋਏ।
GitHub, ਹੁਣ ਮਾਈਕਰੋਸਾਫਟ ਦੀ ਮਲਕੀਅਤ ਅਧੀਨ ਹੈ, ਨੇ GitHub ਦੀਆਂ ਸੇਵਾ ਦੀਆਂ ਸ਼ਰਤਾਂ ਦੀ ਉਲੰਘਣਾ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ, Tukaani ਪ੍ਰੋਜੈਕਟ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ XZ Utils ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਅਯੋਗ ਕਰਕੇ ਕਾਰਵਾਈ ਕੀਤੀ ਹੈ। ਹੁਣ ਤੱਕ, ਜੰਗਲੀ ਵਿੱਚ ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਦੀ ਕੋਈ ਰਿਪੋਰਟ ਨਹੀਂ ਹੈ।
ਪੜਤਾਲਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਪੈਕੇਜ ਸਿਰਫ਼ ਫੇਡੋਰਾ 41 ਅਤੇ ਫੇਡੋਰਾ ਰਾਵਹਾਈਡ ਡਿਸਟਰੀਬਿਊਸ਼ਨਾਂ ਵਿੱਚ ਪਾਏ ਜਾਂਦੇ ਹਨ। ਹੋਰ ਪ੍ਰਮੁੱਖ ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਜਿਵੇਂ ਕਿ ਐਲਪਾਈਨ ਲੀਨਕਸ, ਐਮਾਜ਼ਾਨ ਲੀਨਕਸ, ਡੇਬੀਅਨ ਸਟੇਬਲ, ਜੈਂਟੂ ਲੀਨਕਸ, ਲੀਨਕਸ ਮਿੰਟ, ਰੈੱਡ ਹੈਟ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਲੀਨਕਸ (RHEL), SUSE ਲੀਨਕਸ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਅਤੇ ਲੀਪ, ਅਤੇ ਉਬੰਟੂ ਇਸ ਸੁਰੱਖਿਆ ਮੁੱਦੇ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹਨ।
CVE-2024-3094 ਬੈਕਡੋਰ ਕਮਜ਼ੋਰੀ ਨੂੰ ਘੱਟ ਕਰਨਾ
ਫੇਡੋਰਾ ਲੀਨਕਸ 40 ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 5.4 ਬਿਲਡ ਵਿੱਚ ਵਾਪਸ ਜਾਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਗਈ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਈ ਹੋਰ ਲੀਨਕਸ ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਆਰਕ ਲੀਨਕਸ (ਇੰਸਟਾਲੇਸ਼ਨ ਮਾਧਿਅਮ 2024.03.01, ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਚਿੱਤਰ 20240301.218094 ਅਤੇ 20240315.221711, ਅਤੇ 24 ਫਰਵਰੀ, 2024 ਅਤੇ 28 ਮਾਰਚ, 2024 ਵਿਚਕਾਰ ਬਣਾਏ ਗਏ ਕੰਟੇਨਰ ਚਿੱਤਰ)
- ਕਾਲੀ ਲੀਨਕਸ (26 ਮਾਰਚ ਅਤੇ 29 ਮਾਰਚ ਦੇ ਵਿਚਕਾਰ)
- openSUSE Tumbleweed ਅਤੇ openSUSE MicroOS (7 ਮਾਰਚ ਅਤੇ 28 ਮਾਰਚ ਦੇ ਵਿਚਕਾਰ)
- ਡੇਬੀਅਨ ਟੈਸਟਿੰਗ, ਅਸਥਿਰ, ਅਤੇ ਪ੍ਰਯੋਗਾਤਮਕ ਸੰਸਕਰਣ (5.5.1alpha-0.1 ਤੋਂ 5.6.1-1 ਤੱਕ)
ਇਸ ਵਿਕਾਸ ਨੇ ਯੂਐਸ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (CISA) ਨੂੰ ਆਪਣੀ ਖੁਦ ਦੀ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਆ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ XZ Utils ਨੂੰ ਸਮਝੌਤਾ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਨਾ ਹੋਣ ਵਾਲੇ ਸੰਸਕਰਣ ਵਿੱਚ ਵਾਪਸ ਲਿਆਉਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਹੈ, ਜਿਵੇਂ ਕਿ XZ Utils 5.4.6 ਸਟੇਬਲ।
