Chyba zabezpečenia CVE-2024-3094 (XZ Backdoor)
Bezpečnostní analytici nedávno objavili kritickú zraniteľnosť s potenciálne ničivými následkami. Podľa naliehavého bezpečnostného upozornenia boli dve iterácie široko používaného nástroja na kompresiu údajov XZ Utils (predtým známeho ako LZMA Utils) ohrozené škodlivým kódom. Tento kód umožňuje neoprávnený vzdialený prístup k postihnutým systémom.
Toto narušenie bezpečnosti, označené ako CVE-2024-3094, je hodnotené CVSS skóre 10,0, čo znamená najvyššiu úroveň závažnosti. Ovplyvňuje verzie 5.6.0 (vydané 24. februára 2024) a 5.6.1 (vydané 9. marca 2024) XZ Utils.
Využívanie zahŕňa sofistikovanú manipuláciu s procesom zostavovania liblzmy. Konkrétne sa vopred zostavený objektový súbor extrahuje zo skrytého testovacieho súboru v zdrojovom kóde. Tento objektový súbor sa potom používa na zmenu špecifických funkcií v kóde liblzma, čím sa zachováva kompromis.
Obsah
Chyba zabezpečenia CVE-2024-3094 umožňuje útočníkom posielať ľubovoľné užitočné zaťaženie
Tento ohrozujúci proces vedie k upravenej verzii knižnice liblzma, schopnej zachytávať a meniť interakcie údajov s akýmkoľvek softvérom, ktorý ju využíva.
Presnejšie povedané, zlý kód vložený do knižnice je vytvorený tak, aby narušil proces démona sshd, ktorý je súčasťou SSH (Secure Shell), prostredníctvom softvérového balíka systemd. Táto manipulácia potenciálne poskytuje aktérovi hrozby schopnosť kompromitovať autentifikáciu sshd a nezákonne pristupovať k systému na diaľku, za predpokladu splnenia určitých podmienok.
Konečným cieľom škodlivých zadných dvierok zavedených CVE-2024-3094 je vloženie kódu do servera OpenSSH (SSHD) spusteného na napadnutom počítači. To by umožnilo konkrétnym vzdialeným útočníkom, ktorí vlastnia konkrétny súkromný kľúč, odosielať ľubovoľné užitočné zaťaženia prostredníctvom SSH. Tieto užitočné zaťaženia by sa vykonali pred fázou autentifikácie, čím by sa efektívne zmocnila kontrola nad celým viktimizovaným systémom.
Chyba zabezpečenia CVE-2024-3094 bola pravdepodobne úmyselne zavedená aktérom súvisiacim s podvodom
Zdá sa, že zložito skrytý škodlivý kód bol integrovaný prostredníctvom sekvencie štyroch odovzdaní projektu Tukaani na GitHub používateľom identifikovaným ako Jia Tan (JiaT75).
Ak vezmeme do úvahy trvalú aktivitu trvajúcu niekoľko týždňov, naznačuje to, že páchateľ je buď priamo zapojený, alebo zažil významný kompromis svojho systému. Posledný scenár sa však zdá byť menej pravdepodobný, vzhľadom na ich účasť na rôznych fórach týkajúcich sa údajných „oprav“.
GitHub, ktorý je teraz vo vlastníctve spoločnosti Microsoft, podnikol kroky deaktiváciou úložiska XZ Utils, ktoré spravuje projekt Tukaani, s odvolaním sa na porušenie podmienok služby GitHub. Zatiaľ nie sú žiadne správy o aktívnom využívaní vo voľnej prírode.
Vyšetrovanie naznačuje, že tieto kompromitované balíky sa nachádzajú výlučne v distribúciách Fedora 41 a Fedora Rawhide. Ostatné hlavné distribúcie ako Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise a Leap a Ubuntu zostávajú týmto bezpečnostným problémom nedotknuté.
Zmiernenie zraniteľnosti CVE-2024-3094 Backdoor
Používateľom Fedora Linux 40 sa odporúča vrátiť sa k zostave 5.4. Navyše, niekoľko ďalších distribúcií Linuxu bolo ovplyvnených útokom dodávateľského reťazca, vrátane:
Arch Linux (inštalačné médium 2024.03.01, obrazy virtuálneho počítača 20240301.218094 a 20240315.221711 a obrazy kontajnerov vytvorené medzi 24. februárom 2024 a 28. marcom 2024)
- Kali Linux (medzi 26. a 29. marcom)
- openSUSE Tumbleweed a openSUSE MicroOS (od 7. do 28. marca)
- Testovanie Debianu, nestabilné a experimentálne verzie (v rozsahu od 5.5.1alpha-0.1 do 5.6.1-1)
Tento vývoj podnietil americkú Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), aby vydala svoje vlastné upozornenie, ktoré používateľom odporúča vrátiť XZ Utils na verziu, ktorá nebola ovplyvnená kompromisom, ako je XZ Utils 5.4.6 Stable.
