CVE-2024-3094 Sårbarhet (XZ Backdoor)
Säkerhetsanalytiker har nyligen upptäckt en kritisk sårbarhet med potentiellt förödande återverkningar. Enligt en brådskande säkerhetsrådgivning har två iterationer av det flitigt använda verktyget för datakomprimering, XZ Utils (tidigare känt som LZMA Utils), äventyrats med skadlig kod. Denna kod möjliggör obehörig fjärråtkomst till berörda system.
Detta säkerhetsbrott, identifierat som CVE-2024-3094, har ett CVSS-poäng på 10,0, vilket betyder den högsta svårighetsgraden. Det påverkar versionerna 5.6.0 (släpptes 24 februari 2024) och 5.6.1 (släpptes 9 mars 2024) av XZ Utils.
Exploateringen innebär en sofistikerad manipulation av liblzma-byggprocessen. Specifikt extraheras en förbyggd objektfil från en förklädd testfil i källkoden. Den här objektfilen används sedan för att ändra specifika funktioner i liblzma-koden, vilket vidmakthåller kompromissen.
Innehållsförteckning
CVE-2024-3094-sårbarheten tillåter angripare att skicka godtyckliga nyttolaster
Den hotfulla processen leder till en modifierad version av liblzma-biblioteket, som kan fånga upp och ändra datainteraktioner med vilken programvara som helst som använder den.
Mer exakt är den dåliga koden som är inbäddad i biblioteket utformad för att störa sshd-demonprocessen, en komponent av SSH (Secure Shell), genom systemprogramsviten. Denna manipulation ger potentiellt en hotaktör möjligheten att äventyra sshd-autentisering och olaglig åtkomst till systemet på distans, beroende på att vissa villkor uppfylls.
Det slutliga målet med den skadliga bakdörren som introducerades av CVE-2024-3094 är att injicera kod i OpenSSH-servern (SSHD) som körs på den utsatta maskinen. Detta skulle göra det möjligt för specifika fjärrangripare, i besittning av en viss privat nyckel, att skicka godtyckliga nyttolaster via SSH. Dessa nyttolaster skulle köras före autentiseringsstadiet, vilket effektivt tar kontroll över hela det utsatta systemet.
CVE-2024-3094-sårbarheten introducerades sannolikt avsiktligt av en bedrägerierelaterad aktör
Den intrikat dolda skadliga koden verkar ha integrerats genom en sekvens av fyra commits till Tukaani-projektet på GitHub av en användare identifierad som Jia Tan (JiaT75).
Med tanke på den ihållande aktiviteten som sträcker sig över flera veckor, tyder det på att den som begåtts antingen är direkt inblandad eller har upplevt en betydande kompromiss med sitt system. Det senare scenariot verkar dock mindre rimligt, med tanke på deras engagemang på olika forum angående de påstådda "fixarna".
GitHub, som nu ägs av Microsoft, har vidtagit åtgärder genom att avaktivera XZ Utils-förvaret som hanteras av Tukaani-projektet, med hänvisning till ett brott mot GitHubs användarvillkor. Hittills har det inte förekommit några rapporter om aktiv exploatering i naturen.
Undersökningar tyder på att dessa komprometterade paket uteslutande finns i Fedora 41 och Fedora Rawhide-distributioner. Andra stora distributioner som Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise and Leap och Ubuntu förblir opåverkade av detta säkerhetsproblem.
Åtgärda säkerhetsproblemet CVE-2024-3094 bakdörr
Användare av Fedora Linux 40 har rekommenderats att återgå till en 5.4-version. Dessutom har flera andra Linux-distributioner påverkats av supply chain-attacken, inklusive:
Arch Linux (installationsmedium 2024.03.01, virtuella maskinavbildningar 20240301.218094 och 20240315.221711, och behållaravbildningar skapade mellan 24 februari 2024 och 28 mars 2024)
- Kali Linux (mellan 26 mars och 29 mars)
- openSUSE Tumbleweed och openSUSE MicroOS (mellan 7 mars och 28 mars)
- Debiantestning, instabila och experimentella versioner (från 5.5.1alpha-0.1 till 5.6.1-1)
Denna utveckling har fått US Cybersecurity and Infrastructure Security Agency (CISA) att utfärda sin egen varning, som råder användare att återställa XZ Utils till en version som inte påverkas av kompromissen, såsom XZ Utils 5.4.6 Stable.
