Vulnerabilitatea CVE-2024-3094 (XZ Backdoor)
Analiștii de securitate au descoperit recent o vulnerabilitate critică cu repercusiuni potențial devastatoare. Potrivit unui aviz de securitate urgent, două iterații ale instrumentului de comprimare a datelor utilizat pe scară largă, XZ Utils (cunoscut anterior ca LZMA Utils), au fost compromise cu cod rău intenționat. Acest cod permite accesul neautorizat de la distanță la sistemele afectate.
Această încălcare a securității, identificată ca CVE-2024-3094, este evaluată cu un scor CVSS de 10,0, ceea ce înseamnă cel mai înalt nivel de severitate. Afectează versiunile 5.6.0 (lansat pe 24 februarie 2024) și 5.6.1 (lansat pe 9 martie 2024) ale XZ Utils.
Exploatarea implică o manipulare sofisticată a procesului de construire a liblzma. Mai exact, un fișier obiect preconstruit este extras dintr-un fișier de test deghizat în codul sursă. Acest fișier obiect este apoi folosit pentru a modifica anumite funcții din codul liblzma, perpetuând compromisul.
Cuprins
Vulnerabilitatea CVE-2024-3094 permite atacatorilor să trimită încărcături utile arbitrare
Procesul de amenințare duce la o versiune modificată a bibliotecii liblzma, capabilă să intercepteze și să modifice interacțiunile de date cu orice software care o folosește.
Mai precis, codul prost încorporat în bibliotecă este creat pentru a perturba procesul demonului sshd, o componentă a SSH (Secure Shell), prin suita de software systemd. Această manipulare oferă potențial unui actor de amenințare capacitatea de a compromite autentificarea sshd și de a accesa ilicit sistemul de la distanță, sub rezerva îndeplinirii anumitor condiții.
Scopul final al backdoor dăunătoare introdus de CVE-2024-3094 este de a injecta cod în serverul OpenSSH (SSHD) care rulează pe mașina victimizată. Acest lucru ar permite anumitor atacatori de la distanță, în posesia unei anumite chei private, să trimită sarcini utile arbitrare prin SSH. Aceste sarcini utile ar fi executate înainte de etapa de autentificare, preluând efectiv controlul asupra întregului sistem victimizat.
Vulnerabilitatea CVE-2024-3094 a fost probabil introdusă intenționat de un actor legat de fraudă
Codul rău intenționat ascuns complex pare să fi fost integrat printr-o secvență de patru comite în proiectul Tukaani pe GitHub de către un utilizator identificat ca Jia Tan (JiaT75).
Având în vedere activitatea susținută care se întinde pe mai multe săptămâni, sugerează că comisionul fie este direct implicat, fie a experimentat un compromis semnificativ al sistemului lor. Cu toate acestea, acest din urmă scenariu pare mai puțin plauzibil, având în vedere implicarea lor pe diverse forumuri în ceea ce privește pretinsele „remedieri”.
GitHub, aflat acum în proprietatea Microsoft, a luat măsuri prin dezactivarea depozitului XZ Utils gestionat de Proiectul Tukaani, invocând o încălcare a termenilor și condițiilor GitHub. Până acum, nu au existat rapoarte de exploatare activă în sălbăticie.
Investigațiile indică faptul că aceste pachete compromise se găsesc exclusiv în distribuțiile Fedora 41 și Fedora Rawhide. Alte distribuții majore, cum ar fi Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise și Leap și Ubuntu rămân neafectate de această problemă de securitate.
Atenuarea vulnerabilității CVE-2024-3094 Backdoor
Utilizatorii Fedora Linux 40 au fost sfătuiți să revină la o versiune 5.4. În plus, alte câteva distribuții Linux au fost afectate de atacul lanțului de aprovizionare, inclusiv:
Arch Linux (mediu de instalare 2024.03.01, imagini de mașină virtuală 20240301.218094 și 20240315.221711 și imagini container create între 24 februarie 2024 și 28 martie 2024)
- Kali Linux (între 26 martie și 29 martie)
- openSUSE Tumbleweed și openSUSE MicroOS (între 7 martie și 28 martie)
- Versiuni de testare Debian, instabile și experimentale (de la 5.5.1alpha-0.1 la 5.6.1-1)
Această dezvoltare a determinat agenția americană de securitate cibernetică și infrastructură (CISA) să emită propria alertă, sfătuind utilizatorii să revină XZ Utils la o versiune neafectată de compromis, cum ar fi XZ Utils 5.4.6 Stable.
