CVE-2024-3094 Vulnerability (XZ Backdoor)
Безбедносни аналитичари су недавно открили критичну рањивост са потенцијално разорним последицама. Према хитном безбедносном савету, две итерације широко коришћеног алата за компресију података, КСЗ Утилс (раније познат као ЛЗМА Утилс), компромитоване су злонамерним кодом. Овај код омогућава неовлашћен даљински приступ погођеним системима.
Ова безбедносна повреда, идентификована као ЦВЕ-2024-3094, оцењена је оценом ЦВСС од 10,0, што означава највиши ниво озбиљности. Утиче на верзије 5.6.0 (објављене 24. фебруара 2024.) и 5.6.1 (објављене 9. марта 2024.) КСЗ Утилс-а.
Експлоатација укључује софистицирану манипулацију процесом изградње либлзма. Конкретно, унапред изграђена објектна датотека се издваја из прикривене тест датотеке унутар изворног кода. Ова објектна датотека се затим користи за измену специфичних функција унутар либлзма кода, одржавајући компромис.
Преглед садржаја
Рањивост ЦВЕ-2024-3094 омогућава нападачима да шаљу произвољне податке
Претећи процес води до модификоване верзије библиотеке либлзма, способне да пресреће и мења интеракције података са било којим софтвером који је користи.
Тачније, лош код уграђен у библиотеку је направљен да поремети процес ссхд демона, компоненту ССХ-а (Сецуре Схелл), преко системд софтверског пакета. Ова манипулација потенцијално даје актеру претње могућност да компромитује ссхд аутентификацију и илегално приступа систему са даљине, под условом да су испуњени одређени услови.
Крајњи циљ штетног бацкдоор-а који је увео ЦВЕ-2024-3094 је убацивање кода у ОпенССХ сервер (ССХД) који ради на жртви рачунара. Ово би омогућило одређеним удаљеним нападачима, који поседују одређени приватни кључ, да шаљу произвољне корисне податке преко ССХ-а. Ови корисни терети би се извршили пре фазе аутентификације, ефективно преузимајући контролу над целим виктимизованим системом.
Рањивост ЦВЕ-2024-3094 је вероватно намерно уведена од стране актера у вези са преваром
Изгледа да је замршено прикривени злонамерни код интегрисан кроз низ од четири урезивања у пројекат Тукаани на ГитХуб-у од стране корисника идентификованог као Јиа Тан (ЈиаТ75).
Узимајући у обзир континуирану активност која траје неколико недеља, то сугерише да је починилац или директно умешан или да је доживео значајан компромис у свом систему. Међутим, овај други сценарио изгледа мање вероватан, с обзиром на њихово ангажовање на разним форумима у вези са наводним „поправкама“.
ГитХуб, који је сада у власништву Мицрософта, предузео је акцију деактивирањем КСЗ Утилс спремишта којим управља пројекат Тукаани, наводећи кршење услова коришћења услуге ГитХуб. За сада нема извештаја о активној експлоатацији у дивљини.
Истраживања показују да се ови компромитовани пакети налазе искључиво у дистрибуцијама Федора 41 и Федора Равхиде. Остале велике дистрибуције као што су Алпине Линук, Амазон Линук, Дебиан Стабле, Гентоо Линук, Линук Минт, Ред Хат Ентерприсе Линук (РХЕЛ), СУСЕ Линук Ентерприсе и Леап и Убунту остају непромењене овим безбедносним проблемом.
Ублажавање рањивости ЦВЕ-2024-3094 бацкдоор
Корисницима Федора Линук 40 је саветовано да се врате на верзију 5.4. Поред тога, напад на ланац снабдевања је погођен на неколико других дистрибуција Линука, укључујући:
Арцх Линук (инсталациони медиј 2024.03.01, слике виртуелне машине 20240301.218094 и 20240315.221711, и слике контејнера направљене између 24. фебруара 2024. и 28. марта 2024.)
- Кали Линук (између 26. и 29. марта)
- опенСУСЕ Тумблевеед и опенСУСЕ МицроОС (између 7. и 28. марта)
- Дебиан тестирање, нестабилне и експерименталне верзије (у распону од 5.5.1алпха-0.1 до 5.6.1-1)
Овај развој догађаја је подстакао америчку агенцију за сајбер безбедност и безбедност инфраструктуре (ЦИСА) да изда сопствено упозорење, саветујући кориснике да врате КСЗ Утилс на верзију на коју компромис није утицао, као што је КСЗ Утилс 5.4.6 Стабле.
