Luka CVE-2024-3094 (backdoor XZ)
Analitycy bezpieczeństwa odkryli niedawno krytyczną lukę w zabezpieczeniach, która może mieć katastrofalne skutki. Według pilnego poradnika dotyczącego bezpieczeństwa dwie wersje powszechnie używanego narzędzia do kompresji danych, XZ Utils (wcześniej znanego jako LZMA Utils), zostały zainfekowane złośliwym kodem. Ten kod umożliwia nieautoryzowany zdalny dostęp do systemów, których dotyczy problem.
To naruszenie bezpieczeństwa, zidentyfikowane jako CVE-2024-3094, ma ocenę CVSS wynoszącą 10,0, co oznacza najwyższy poziom ważności. Dotyczy wersji 5.6.0 (wydanej 24 lutego 2024 r.) i 5.6.1 (wydanej 9 marca 2024 r.) XZ Utils.
Exploit polega na wyrafinowanej manipulacji procesem kompilacji liblzmy. W szczególności wstępnie zbudowany plik obiektowy jest wyodrębniany z ukrytego pliku testowego w kodzie źródłowym. Ten plik obiektowy jest następnie używany do zmiany określonych funkcji w kodzie liblzma, utrwalając kompromis.
Spis treści
Luka CVE-2024-3094 umożliwia atakującym wysyłanie dowolnych ładunków
Ten groźny proces prowadzi do zmodyfikowanej wersji biblioteki liblzma, zdolnej do przechwytywania i modyfikowania interakcji danych z dowolnym oprogramowaniem, które ją wykorzystuje.
Mówiąc dokładniej, zły kod osadzony w bibliotece został stworzony w celu zakłócenia procesu demona sshd, składnika SSH (Secure Shell), za pośrednictwem pakietu oprogramowania systemowego. Ta manipulacja potencjalnie umożliwia ugrupowaniu zagrażającemu złamanie uwierzytelnienia sshd i nielegalny zdalny dostęp do systemu, pod warunkiem spełnienia określonych warunków.
Ostatecznym celem szkodliwego backdoora wprowadzonego przez CVE-2024-3094 jest wstrzyknięcie kodu do serwera OpenSSH (SSHD) działającego na zaatakowanej maszynie. Umożliwiłoby to określonym osobom atakującym zdalnie, posiadającym określony klucz prywatny, wysyłanie dowolnych ładunków za pośrednictwem protokołu SSH. Ładunki te byłyby wykonywane przed etapem uwierzytelniania, skutecznie przejmując kontrolę nad całym systemem będącym ofiarą.
Luka CVE-2024-3094 została prawdopodobnie celowo wprowadzona przez osobę powiązaną z oszustwem
Wygląda na to, że misternie ukryty złośliwy kod został zintegrowany poprzez sekwencję czterech zatwierdzeń w projekcie Tukaani w serwisie GitHub przez użytkownika zidentyfikowanego jako Jia Tan (JiaT75).
Biorąc pod uwagę ciągłą aktywność trwającą kilka tygodni, sugeruje się, że sprawca jest albo bezpośrednio zamieszany, albo doświadczył znaczącego naruszenia bezpieczeństwa swojego systemu. Jednak ten drugi scenariusz wydaje się mniej prawdopodobny, biorąc pod uwagę ich zaangażowanie na różnych forach w sprawie rzekomych „poprawek”.
GitHub, będący obecnie własnością Microsoftu, podjął działania, dezaktywując repozytorium XZ Utils zarządzane przez Tukaani Project, powołując się na naruszenie warunków korzystania z usługi GitHub. Jak dotąd nie było żadnych doniesień o aktywnej eksploatacji tego gatunku na wolności.
Badania wskazują, że te zainfekowane pakiety można znaleźć wyłącznie w dystrybucjach Fedory 41 i Fedory Rawhide. Inne główne dystrybucje, takie jak Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise i Leap oraz Ubuntu, pozostają nienaruszone przez ten problem bezpieczeństwa.
Łagodzenie luki w zabezpieczeniach backdoora CVE-2024-3094
Użytkownikom Fedory Linux 40 zalecono powrót do wersji 5.4. Ponadto atak na łańcuch dostaw dotknął kilka innych dystrybucji Linuksa, w tym:
Arch Linux (nośnik instalacyjny 2024.03.01, obrazy maszyn wirtualnych 20240301.218094 i 20240315.221711 oraz obrazy kontenerów utworzone między 24 lutego 2024 r. a 28 marca 2024 r.)
- Kali Linux (od 26 marca do 29 marca)
- openSUSE Tumbleweed i openSUSE MicroOS (od 7 do 28 marca)
- Wersje testowe, niestabilne i eksperymentalne Debiana (od 5.5.1alpha-0.1 do 5.6.1-1)
Sytuacja ta skłoniła amerykańską Agencję ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) do wydania własnego ostrzeżenia, w którym zaleca się użytkownikom przywrócenie XZ Utils do wersji nienaruszonej kompromisem, takiej jak XZ Utils 5.4.6 Stable.
