CVE-2024-3094 ช่องโหว่ (XZ Backdoor)
นักวิเคราะห์ความปลอดภัยได้ค้นพบช่องโหว่ที่สำคัญและผลกระทบร้ายแรงที่อาจเกิดขึ้นเมื่อเร็วๆ นี้ ตามคำแนะนำด้านความปลอดภัยเร่งด่วน การทำซ้ำสองครั้งของเครื่องมือบีบอัดข้อมูลที่ใช้กันอย่างแพร่หลาย XZ Utils (เดิมชื่อ LZMA Utils) ถูกโจมตีด้วยโค้ดที่เป็นอันตราย รหัสนี้ช่วยให้สามารถเข้าถึงระบบที่ได้รับผลกระทบจากระยะไกลโดยไม่ได้รับอนุญาต
การละเมิดความปลอดภัยนี้ ซึ่งระบุเป็น CVE-2024-3094 ได้รับการจัดอันดับด้วยคะแนน CVSS ที่ 10.0 ซึ่งแสดงถึงระดับความรุนแรงสูงสุด มีผลกับเวอร์ชัน 5.6.0 (เผยแพร่เมื่อวันที่ 24 กุมภาพันธ์ 2567) และ 5.6.1 (เผยแพร่เมื่อวันที่ 9 มีนาคม 2567) ของ XZ Utils
การใช้ประโยชน์นี้เกี่ยวข้องกับการยักย้ายที่ซับซ้อนของกระบวนการสร้าง liblzma โดยเฉพาะอย่างยิ่ง ไฟล์อ็อบเจ็กต์ที่สร้างไว้ล่วงหน้าจะถูกแยกออกจากไฟล์ทดสอบปลอมตัวภายในซอร์สโค้ด ไฟล์อ็อบเจ็กต์นี้จะใช้เพื่อแก้ไขฟังก์ชันเฉพาะภายในโค้ด liblzma ซึ่งจะทำให้การประนีประนอมดำเนินต่อไป
สารบัญ
ช่องโหว่ CVE-2024-3094 ช่วยให้ผู้โจมตีสามารถส่ง Payloads โดยพลการได้
กระบวนการคุกคามนี้นำไปสู่เวอร์ชันแก้ไขของไลบรารี liblzma ซึ่งสามารถดักจับและเปลี่ยนแปลงการโต้ตอบข้อมูลกับซอฟต์แวร์ใดๆ ก็ตามที่ใช้งาน
ยิ่งไปกว่านั้น โค้ดที่ไม่ถูกต้องที่ฝังอยู่ภายในไลบรารีนั้นถูกสร้างขึ้นมาเพื่อขัดขวางกระบวนการ sshd daemon ซึ่งเป็นส่วนประกอบของ SSH (Secure Shell) ผ่านทางชุดซอฟต์แวร์ systemd การจัดการนี้อาจทำให้ผู้คุกคามสามารถประนีประนอมการรับรองความถูกต้อง sshd และเข้าถึงระบบจากระยะไกลอย่างผิดกฎหมาย โดยขึ้นอยู่กับเงื่อนไขบางประการที่ต้องปฏิบัติตาม
เป้าหมายสูงสุดของแบ็คดอร์ที่เป็นอันตรายที่นำมาใช้โดย CVE-2024-3094 คือการฉีดโค้ดลงในเซิร์ฟเวอร์ OpenSSH (SSHD) ที่ทำงานบนเครื่องที่ตกเป็นเหยื่อ สิ่งนี้จะช่วยให้ผู้โจมตีระยะไกลบางรายซึ่งครอบครองคีย์ส่วนตัวเฉพาะสามารถส่งเพย์โหลดที่กำหนดเองผ่าน SSH ได้ เพย์โหลดเหล่านี้จะดำเนินการก่อนขั้นตอนการตรวจสอบสิทธิ์ ซึ่งจะยึดการควบคุมระบบที่ตกเป็นเหยื่อทั้งหมดได้อย่างมีประสิทธิภาพ
ช่องโหว่ CVE-2024-3094 มีแนวโน้มที่จะเกิดขึ้นโดยเจตนาโดยนักแสดงที่เกี่ยวข้องกับการฉ้อโกง
โค้ดอันตรายที่ซ่อนไว้อย่างประณีตดูเหมือนว่าจะถูกรวมเข้าด้วยกันผ่านลำดับของการคอมมิตสี่ครั้งต่อโครงการ Tukaani บน GitHub โดยผู้ใช้ที่ระบุว่าเป็น Jia Tan (JiaT75)
เมื่อพิจารณาถึงกิจกรรมที่ยั่งยืนซึ่งครอบคลุมหลายสัปดาห์ พบว่าผู้กระทำมีส่วนเกี่ยวข้องโดยตรงหรือประสบปัญหาระบบประนีประนอมอย่างมีนัยสำคัญ อย่างไรก็ตาม สถานการณ์หลังนี้ดูเป็นไปได้น้อยกว่า เนื่องจากมีส่วนร่วมในฟอรัมต่างๆ ที่เกี่ยวข้องกับ 'การแก้ไข'
GitHub ซึ่งขณะนี้อยู่ภายใต้การเป็นเจ้าของของ Microsoft ได้ดำเนินการโดยการปิดใช้งานพื้นที่เก็บข้อมูล XZ Utils ที่จัดการโดยโครงการ Tukaani โดยอ้างถึงการละเมิดข้อกำหนดในการให้บริการของ GitHub ณ ขณะนี้ ยังไม่มีรายงานการแสวงหาประโยชน์อย่างแข็งขันในป่า
จากการตรวจสอบพบว่าแพ็คเกจที่ถูกบุกรุกเหล่านี้พบได้เฉพาะใน Fedora 41 และ Fedora Rawhide เท่านั้น การกระจายหลักอื่นๆ เช่น Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise และ Leap และ Ubuntu ยังคงไม่ได้รับผลกระทบจากปัญหาด้านความปลอดภัยนี้
การบรรเทาช่องโหว่ Backdoor CVE-2024-3094
ผู้ใช้ Fedora Linux 40 ได้รับคำแนะนำให้เปลี่ยนกลับไปเป็นรุ่น 5.4 นอกจากนี้ Linux อื่นๆ หลายรุ่นยังได้รับผลกระทบจากการโจมตีของห่วงโซ่อุปทาน ได้แก่:
Arch Linux (สื่อการติดตั้ง 2024.03.01, อิมเมจเครื่องเสมือน 20240301.218094 และ 20240315.221711 และอิมเมจคอนเทนเนอร์ที่สร้างขึ้นระหว่างวันที่ 24 กุมภาพันธ์ 2024 ถึง 28 มีนาคม 2024)
- Kali Linux (ระหว่างวันที่ 26 มีนาคมถึง 29 มีนาคม)
- openSUSE Tumbleweed และ openSUSE MicroOS (ระหว่างวันที่ 7 มีนาคมถึง 28 มีนาคม)
- การทดสอบ Debian เวอร์ชันที่ไม่เสถียร และเวอร์ชันทดลอง (ตั้งแต่ 5.5.1alpha-0.1 ถึง 5.6.1-1)
การพัฒนานี้ได้กระตุ้นให้ US Cybersecurity and Infrastructure Security Agency (CISA) ออกการแจ้งเตือนของตนเอง โดยแนะนำให้ผู้ใช้เปลี่ยน XZ Utils ไปเป็นเวอร์ชันที่ไม่ได้รับผลกระทบจากการประนีประนอม เช่น XZ Utils 5.4.6 Stable
