CVE-2024-3094 Vulnerability (XZ Backdoor)
Natuklasan kamakailan ng mga security analyst ang isang kritikal na kahinaan na may potensyal na mapangwasak na mga epekto. Ayon sa isang apurahang payo sa seguridad, dalawang pag-ulit ng malawakang ginagamit na tool sa compression ng data, ang XZ Utils (dating kilala bilang LZMA Utils), ay nakompromiso ng malisyosong code. Ang code na ito ay nagbibigay-daan sa hindi awtorisadong malayuang pag-access sa mga apektadong system.
Ang paglabag sa seguridad na ito, na kinilala bilang CVE-2024-3094, ay na-rate na may marka ng CVSS na 10.0, na nagpapahiwatig ng pinakamataas na antas ng kalubhaan. Nakakaapekto ito sa mga bersyon 5.6.0 (inilabas noong Pebrero 24, 2024) at 5.6.1 (inilabas noong Marso 9, 2024) ng XZ Utils.
Ang pagsasamantala ay nagsasangkot ng isang sopistikadong pagmamanipula ng proseso ng pagbuo ng liblzma. Sa partikular, ang isang prebuilt object file ay kinukuha mula sa isang disguised test file sa loob ng source code. Ang object file na ito ay pagkatapos ay ginagamit upang baguhin ang mga partikular na function sa loob ng liblzma code, na nagpapatuloy sa kompromiso.
Talaan ng mga Nilalaman
Ang CVE-2024-3094 Vulnerability ay Nagbibigay-daan sa Mga Attacker na Magpadala ng Arbitrary Payloads
Ang proseso ng pagbabanta ay humahantong sa isang binagong bersyon ng liblzma library, na may kakayahang humarang at baguhin ang mga pakikipag-ugnayan ng data sa anumang software na gumagamit nito.
Mas tiyak, ang masamang code na naka-embed sa loob ng library ay ginawa upang maputol ang proseso ng sshd daemon, isang bahagi ng SSH (Secure Shell), sa pamamagitan ng systemd software suite. Ang pagmamanipula na ito ay maaaring magbigay sa isang banta ng aktor ng kakayahang ikompromiso ang sshd authentication at illicitly na i-access ang system nang malayuan, depende sa ilang mga kundisyon na natutugunan.
Ang pinakalayunin ng mapaminsalang backdoor na ipinakilala ng CVE-2024-3094 ay mag-inject ng code sa OpenSSH server (SSHD) na tumatakbo sa nabiktima ng makina. Ito ay magbibigay-daan sa mga partikular na malayuang umaatake, na may hawak ng isang partikular na pribadong key, na magpadala ng mga arbitrary na payload sa pamamagitan ng SSH. Ipapatupad ang mga payload na ito bago ang yugto ng pagpapatunay, na epektibong kukuha ng kontrol sa buong sistemang nabiktima.
Ang CVE-2024-3094 Vulnerability ay Malamang na Sinadyang Ipinakilala ng Isang Aktor na Kaugnay ng Panloloko
Ang masalimuot na itinagong malisyosong code ay lumilitaw na isinama sa pamamagitan ng pagkakasunod-sunod ng apat na commit sa Tukaani Project sa GitHub ng isang user na kinilala bilang Jia Tan (JiaT75).
Isinasaalang-alang ang matagal na aktibidad na sumasaklaw ng ilang linggo, iminumungkahi nito na ang committer ay direktang nasangkot o nakaranas ng makabuluhang kompromiso ng kanilang system. Gayunpaman, ang huling senaryo ay tila hindi gaanong kapani-paniwala, dahil sa kanilang pakikipag-ugnayan sa iba't ibang mga forum tungkol sa mga sinasabing 'pag-aayos.'
Ang GitHub, na ngayon ay nasa ilalim ng pagmamay-ari ng Microsoft, ay gumawa ng aksyon sa pamamagitan ng pag-deactivate sa XZ Utils repository na pinamamahalaan ng Tukaani Project, na nagbabanggit ng paglabag sa mga tuntunin ng serbisyo ng GitHub. Sa ngayon, walang mga ulat ng aktibong pagsasamantala sa ligaw.
Isinasaad ng mga pagsisiyasat na ang mga nakompromisong paketeng ito ay eksklusibong matatagpuan sa mga pamamahagi ng Fedora 41 at Fedora Rawhide. Ang iba pang mga pangunahing distribusyon tulad ng Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise at Leap, at Ubuntu ay nananatiling hindi apektado ng isyu sa seguridad na ito.
Pagbabawas sa CVE-2024-3094 Backdoor Vulnerability
Ang mga gumagamit ng Fedora Linux 40 ay pinayuhan na bumalik sa isang 5.4 na build. Bukod pa rito, maraming iba pang distribusyon ng Linux ang naapektuhan ng pag-atake ng supply chain, kabilang ang:
Arch Linux (installation medium 2024.03.01, virtual machine images 20240301.218094 at 20240315.221711, at mga container na larawan na ginawa sa pagitan ng Pebrero 24, 2024, at Marso 28, 2024)
- Kali Linux (sa pagitan ng Marso 26 at Marso 29)
- openSUSE Tumbleweed at openSUSE MicroOS (sa pagitan ng Marso 7 at Marso 28)
- Pagsubok sa Debian, hindi matatag, at pang-eksperimentong mga bersyon (mula sa 5.5.1alpha-0.1 hanggang 5.6.1-1)
Ang pag-unlad na ito ay nag-udyok sa US Cybersecurity and Infrastructure Security Agency (CISA) na maglabas ng sarili nitong alerto, na nagpapayo sa mga user na ibalik ang XZ Utils sa isang bersyon na hindi naapektuhan ng kompromiso, gaya ng XZ Utils 5.4.6 Stable.
