CVE-2024-3094 Ranljivost (XZ backdoor)
Varnostni analitiki so nedavno odkrili kritično ranljivost s potencialno uničujočimi posledicami. V skladu z nujnim varnostnim svetovanjem sta bili dve ponovitvi pogosto uporabljenega orodja za stiskanje podatkov XZ Utils (prej znanega kot LZMA Utils) ogroženi z zlonamerno kodo. Ta koda omogoča nepooblaščen oddaljen dostop do prizadetih sistemov.
Ta kršitev varnosti, označena kot CVE-2024-3094, je ocenjena z oceno CVSS 10,0, kar pomeni najvišjo stopnjo resnosti. Vpliva na različici 5.6.0 (izdana 24. februarja 2024) in 5.6.1 (izdana 9. marca 2024) XZ Utils.
Izkoriščanje vključuje prefinjeno manipulacijo procesa gradnje liblzma. Natančneje, vnaprej zgrajena objektna datoteka je ekstrahirana iz prikrite preskusne datoteke znotraj izvorne kode. Ta objektna datoteka se nato uporabi za spreminjanje določenih funkcij znotraj kode liblzma, s čimer se ohrani kompromis.
Kazalo
Ranljivost CVE-2024-3094 napadalcem omogoča pošiljanje poljubnih koristnih podatkov
Nevarni proces vodi do spremenjene različice knjižnice liblzma, ki je sposobna prestreči in spremeniti podatkovne interakcije s katero koli programsko opremo, ki jo uporablja.
Natančneje, slaba koda, vdelana v knjižnico, je izdelana tako, da moti demonski proces sshd, komponento SSH (Secure Shell), prek programske opreme systemd. Ta manipulacija potencialno omogoča akterju grožnje, da ogrozi avtentikacijo sshd in nezakonito dostopa do sistema na daljavo, odvisno od izpolnjenih določenih pogojev.
Končni cilj škodljivih stranskih vrat, ki jih je uvedel CVE-2024-3094, je vbrizgavanje kode v strežnik OpenSSH (SSHD), ki se izvaja na prizadetem računalniku. To bi omogočilo določenim oddaljenim napadalcem, ki imajo v lasti določen zasebni ključ, pošiljanje poljubnih koristnih podatkov prek SSH. Te koristne obremenitve bi se izvršile pred stopnjo avtentikacije, s čimer bi dejansko prevzele nadzor nad celotnim viktimiziranim sistemom.
Ranljivost CVE-2024-3094 je verjetno namerno uvedel akter, povezan z goljufijo
Zdi se, da je zapleteno prikrito zlonamerno kodo uporabnik, identificiran kot Jia Tan (JiaT75), integriral prek zaporedja štirih potrditev v projekt Tukaani na GitHubu.
Glede na dolgotrajno dejavnost, ki traja več tednov, nakazuje, da je izvajalec bodisi neposredno vpleten ali pa je doživel znatno ogrožanje svojega sistema. Vendar se zadnji scenarij zdi manj verjeten, glede na njihovo angažiranost na različnih forumih v zvezi z domnevnimi "popravki".
GitHub, ki je zdaj v lasti Microsofta, je ukrepal tako, da je deaktiviral repozitorij XZ Utils, ki ga upravlja projekt Tukaani, pri čemer je navedel kršitev pogojev storitve GitHub. Do zdaj ni bilo poročil o aktivnem izkoriščanju v naravi.
Preiskave kažejo, da so ti ogroženi paketi izključno v distribucijah Fedora 41 in Fedora Rawhide. Druge večje distribucije, kot so Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise in Leap ter Ubuntu, ta varnostna težava ne vpliva.
Zmanjšanje ranljivosti stranskih vrat CVE-2024-3094
Uporabnikom Fedora Linux 40 svetujemo, naj se vrnejo na različico 5.4. Poleg tega je napad v dobavni verigi prizadel več drugih distribucij Linuxa, vključno z:
Arch Linux (namestitveni medij 2024.03.01, slike navideznega stroja 20240301.218094 in 20240315.221711 ter slike vsebnika, ustvarjene med 24. februarjem 2024 in 28. marcem 2024)
- Kali Linux (med 26. in 29. marcem)
- openSUSE Tumbleweed in openSUSE MicroOS (med 7. in 28. marcem)
- Debian testiranje, nestabilne in poskusne različice (v razponu od 5.5.1alpha-0.1 do 5.6.1-1)
Zaradi tega razvoja je ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) izdala lastno opozorilo in uporabnikom svetovala, naj XZ Utils vrnejo na različico, na katero kompromis ne vpliva, kot je XZ Utils 5.4.6 Stable.
