Уязвимость CVE-2024-3094 (бэкдор XZ)
Аналитики безопасности недавно обнаружили критическую уязвимость с потенциально разрушительными последствиями. Согласно срочному сообщению по безопасности, две версии широко используемого инструмента сжатия данных XZ Utils (ранее известного как LZMA Utils) были скомпрометированы вредоносным кодом. Этот код обеспечивает несанкционированный удаленный доступ к затронутым системам.
Это нарушение безопасности, обозначенное как CVE-2024-3094, имеет рейтинг CVSS 10,0, что означает самый высокий уровень серьезности. Это касается версий 5.6.0 (выпущенной 24 февраля 2024 г.) и 5.6.1 (выпущенной 9 марта 2024 г.) XZ Utils.
Эксплойт включает в себя сложную манипуляцию процессом сборки liblzma. В частности, предварительно созданный объектный файл извлекается из замаскированного тестового файла в исходном коде. Этот объектный файл затем используется для изменения определенных функций в коде liblzma, закрепляя компрометацию.
Оглавление
Уязвимость CVE-2024-3094 позволяет злоумышленникам отправлять произвольные полезные данные
Этот угрожающий процесс приводит к появлению модифицированной версии библиотеки liblzma, способной перехватывать и изменять взаимодействие данных с любым программным обеспечением, которое ее использует.
Точнее, плохой код, встроенный в библиотеку, создан для того, чтобы нарушить работу демона sshd, компонента SSH (Secure Shell), через пакет программного обеспечения systemd. Эта манипуляция потенциально дает злоумышленнику возможность скомпрометировать sshd-аутентификацию и получить незаконный удаленный доступ к системе при выполнении определенных условий.
Конечная цель вредоносного бэкдора, представленного CVE-2024-3094, — внедрить код в сервер OpenSSH (SSHD), работающий на зараженной машине. Это позволит конкретным удаленным злоумышленникам, обладающим определенным секретным ключом, отправлять произвольные полезные данные через SSH. Эти полезные нагрузки будут выполняться до этапа аутентификации, эффективно захватывая контроль над всей пострадавшей системой.
Уязвимость CVE-2024-3094, скорее всего, была намеренно внедрена лицом, связанным с мошенничеством.
Судя по всему, тщательно скрытый вредоносный код был интегрирован посредством четырех коммитов в проект Tukaani на GitHub пользователем по имени Цзя Тан (JiaT75).
Учитывая продолжительную активность, продолжавшуюся несколько недель, это позволяет предположить, что коммиттер либо непосредственно замешан в этом, либо подвергся серьезной компрометации своей системы. Однако последний сценарий кажется менее правдоподобным, учитывая их участие на различных форумах в отношении предполагаемых «исправлений».
GitHub, который теперь принадлежит Microsoft, принял меры, деактивировав репозиторий XZ Utils, управляемый проектом Tukaani, сославшись на нарушение условий обслуживания GitHub. На данный момент сообщений об активной эксплуатации в дикой природе не поступало.
Расследования показывают, что эти скомпрометированные пакеты встречаются исключительно в дистрибутивах Fedora 41 и Fedora Rawhide. Другие основные дистрибутивы, такие как Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise и Leap и Ubuntu, не затронуты этой проблемой безопасности.
Устранение уязвимости бэкдора CVE-2024-3094
Пользователям Fedora Linux 40 было рекомендовано вернуться к сборке 5.4. Кроме того, атаке на цепочку поставок подверглись несколько других дистрибутивов Linux, в том числе:
Arch Linux (установочный носитель 2024.03.01, образы виртуальных машин 20240301.218094 и 20240315.221711, а также образы контейнеров, созданные в период с 24 февраля 2024 г. по 28 марта 2024 г.)
- Kali Linux (с 26 по 29 марта)
- openSUSE Tumbleweed и openSUSE MicroOS (с 7 по 28 марта)
- Тестирование Debian, нестабильные и экспериментальные версии (от 5.5.1alpha-0.1 до 5.6.1-1)
Это событие побудило Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпустить собственное предупреждение, рекомендуя пользователям вернуть XZ Utils к версии, не затронутой компрометацией, например, к XZ Utils 5.4.6 Stable.
