CVE-2024-3094 Dobësia (XZ Backdoor)
Analistët e sigurisë kanë zbuluar kohët e fundit një cenueshmëri kritike me pasoja potencialisht shkatërruese. Sipas një këshillimi urgjent sigurie, dy përsëritje të mjetit të kompresimit të të dhënave të përdorur gjerësisht, XZ Utils (i njohur më parë si LZMA Utils), janë komprometuar me kod me qëllim të keq. Ky kod mundëson qasje të paautorizuar në distancë në sistemet e prekura.
Kjo shkelje e sigurisë, e identifikuar si CVE-2024-3094, është vlerësuar me një rezultat CVSS prej 10.0, që nënkupton nivelin më të lartë të ashpërsisë. Ai prek versionet 5.6.0 (lëshuar më 24 shkurt 2024) dhe 5.6.1 (lëshuar më 9 mars 2024) të XZ Utils.
Shfrytëzimi përfshin një manipulim të sofistikuar të procesit të ndërtimit të liblzma. Në mënyrë të veçantë, një skedar objekti i parandërtuar nxirret nga një skedar testimi i maskuar brenda kodit burimor. Ky skedar objekti përdoret më pas për të ndryshuar funksione specifike brenda kodit liblzma, duke përjetësuar kompromisin.
Tabela e Përmbajtjes
Dobësia CVE-2024-3094 i lejon sulmuesit të dërgojnë ngarkesa arbitrare
Procesi kërcënues çon në një version të modifikuar të bibliotekës liblzma, i aftë për të përgjuar dhe ndryshuar ndërveprimet e të dhënave me çdo softuer që e përdor atë.
Më saktësisht, kodi i keq i ngulitur brenda bibliotekës është krijuar për të prishur procesin e sshd daemon, një komponent i SSH (Secure Shell), përmes paketës së softuerit systemd. Ky manipulim potencialisht i jep një aktori kërcënimi mundësinë për të kompromentuar vërtetimin sshd dhe për të hyrë në mënyrë të paligjshme në sistem nga distanca, në varësi të plotësimit të kushteve të caktuara.
Qëllimi përfundimtar i derës së pasme të dëmshme të prezantuar nga CVE-2024-3094 është të injektojë kodin në serverin OpenSSH (SSHD) që funksionon në makinën e viktimizuar. Kjo do t'u mundësonte sulmuesve të caktuar në distancë, në posedim të një çelësi privat të caktuar, të dërgojnë ngarkesa arbitrare nëpërmjet SSH. Këto ngarkesa do të ekzekutoheshin përpara fazës së vërtetimit, duke kapur efektivisht kontrollin e të gjithë sistemit të viktimizuar.
Dobësia CVE-2024-3094 ka të ngjarë të jetë paraqitur qëllimisht nga një aktor i lidhur me mashtrimin
Kodi me qëllim të keq i fshehur në mënyrë të ndërlikuar duket se është integruar përmes një sekuence prej katër angazhimesh në Projektin Tukaani në GitHub nga një përdorues i identifikuar si Jia Tan (JiaT75).
Duke marrë parasysh aktivitetin e qëndrueshëm që përfshin disa javë, ai sugjeron që kryerësi ose është i implikuar drejtpërdrejt ose ka përjetuar një kompromis të rëndësishëm të sistemit të tij. Megjithatë, skenari i fundit duket më pak i besueshëm, duke pasur parasysh angazhimin e tyre në forume të ndryshme në lidhje me 'rregullimet' e supozuara.
GitHub, tani nën pronësinë e Microsoft, ka ndërmarrë veprime duke çaktivizuar depon e XZ Utils të menaxhuar nga Projekti Tukaani, duke përmendur një shkelje të kushteve të shërbimit të GitHub. Deri tani, nuk ka pasur raporte për shfrytëzim aktiv në natyrë.
Hetimet tregojnë se këto paketa të komprometuara gjenden ekskluzivisht në shpërndarjet Fedora 41 dhe Fedora Rawhide. Shpërndarje të tjera kryesore si Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap dhe Ubuntu mbeten të paprekura nga kjo çështje sigurie.
Zbutja e cenueshmërisë së derës së pasme CVE-2024-3094
Përdoruesit e Fedora Linux 40 janë këshilluar të kthehen në një ndërtim 5.4. Për më tepër, disa shpërndarje të tjera Linux janë prekur nga sulmi i zinxhirit të furnizimit, duke përfshirë:
Arch Linux (mediumi i instalimit 2024.03.01, imazhet e makinës virtuale 20240301.218094 dhe 20240315.221711 dhe imazhet e kontejnerit të krijuara midis 24 shkurtit 2024 dhe 28 marsit 2024)
- Kali Linux (ndërmjet 26 marsit dhe 29 marsit)
- openSUSE Tumbleweed dhe openSUSE MicroOS (midis 7 marsit dhe 28 marsit)
- Versione të testimit Debian, të paqëndrueshme dhe eksperimentale (duke filluar nga 5.5.1alpha-0.1 në 5.6.1-1)
Ky zhvillim ka shtyrë Agjencinë e SHBA-së për Sigurinë Kibernetike dhe Sigurinë e Infrastrukturës (CISA) të lëshojë alarmin e vet, duke këshilluar përdoruesit të rikthejnë XZ Utils në një version të paprekur nga kompromisi, siç është XZ Utils 5.4.6 Stable.
