CVE-2024-3094 Güvenlik Açığı (XZ Arka Kapı)
Güvenlik analistleri yakın zamanda yıkıcı sonuçlara yol açabilecek kritik bir güvenlik açığı keşfettiler. Acil bir güvenlik tavsiyesine göre, yaygın olarak kullanılan veri sıkıştırma aracı XZ Utils'in (eski adıyla LZMA Utils) iki sürümü, kötü amaçlı kodla ele geçirildi. Bu kod, etkilenen sistemlere yetkisiz uzaktan erişim sağlar.
CVE-2024-3094 olarak tanımlanan bu güvenlik ihlali, en yüksek ciddiyet seviyesini ifade eden 10,0 CVSS puanıyla derecelendirilmiştir. XZ Utils'in 5.6.0 (24 Şubat 2024'te yayınlandı) ve 5.6.1 (9 Mart 2024'te yayınlandı) sürümlerini etkiliyor.
Bu istismar, liblzma oluşturma sürecinin karmaşık bir manipülasyonunu içeriyor. Spesifik olarak, önceden oluşturulmuş bir nesne dosyası, kaynak kodundaki gizlenmiş bir test dosyasından çıkarılır. Bu nesne dosyası daha sonra liblzma kodu içindeki belirli işlevleri değiştirmek için kullanılır ve bu da uzlaşmayı sürdürür.
İçindekiler
CVE-2024-3094 Güvenlik Açığı, Saldırganların Keyfi Yükler Göndermesine İzin Verir
Bu tehdit edici süreç, liblzma kütüphanesinin, onu kullanan herhangi bir yazılımla veri etkileşimlerini yakalayabilen ve değiştirebilen değiştirilmiş bir versiyonuna yol açar.
Daha doğrusu, kütüphanenin içine gömülü olan hatalı kod, SSH'nin (Secure Shell) bir bileşeni olan sshd daemon sürecini systemd yazılım paketi aracılığıyla bozmak için hazırlanmıştır. Bu manipülasyon, potansiyel olarak bir tehdit aktörüne, belirli koşulların yerine getirilmesine bağlı olarak sshd kimlik doğrulamasını tehlikeye atma ve sisteme yasa dışı olarak uzaktan erişme yeteneği verir.
CVE-2024-3094 tarafından tanıtılan zararlı arka kapının nihai amacı, mağdur makinede çalışan OpenSSH sunucusuna (SSHD) kod enjekte etmektir. Bu, belirli bir özel anahtara sahip olan belirli uzak saldırganların SSH aracılığıyla rastgele veriler göndermesine olanak tanıyacaktır. Bu yükler, kimlik doğrulama aşamasından önce yürütülecek ve mağdur sistemin tamamının kontrolünü etkili bir şekilde ele geçirecektir.
CVE-2024-3094 Güvenlik Açığı Muhtemelen Dolandırıcılıkla İlgili Bir Aktör Tarafından Kasıtlı Olarak Açılmıştır
Karmaşık bir şekilde gizlenmiş kötü amaçlı kodun, Jia Tan (JiaT75) olarak tanımlanan bir kullanıcı tarafından GitHub'daki Tukaani Projesi'ne dört işlemden oluşan bir dizi yoluyla entegre edildiği görülüyor.
Birkaç haftayı kapsayan sürekli faaliyet göz önüne alındığında, bu durum, failin ya doğrudan olaya karıştığı ya da sistemlerinde önemli bir tehlikeye maruz kaldığı anlamına geliyor. Ancak ikinci senaryo, iddia edilen 'düzeltmeler' ile ilgili çeşitli forumlardaki katılımları göz önüne alındığında daha az makul görünüyor.
Artık Microsoft'un mülkiyetinde olan GitHub, GitHub'un hizmet koşullarının ihlal edildiğini öne sürerek Tukaani Projesi tarafından yönetilen XZ Utils deposunu devre dışı bırakarak harekete geçti. Şu an itibariyle vahşi doğada aktif sömürüye dair herhangi bir rapor bulunmuyor.
Araştırmalar, ele geçirilen bu paketlerin yalnızca Fedora 41 ve Fedora Rawhide dağıtımlarında bulunduğunu gösteriyor. Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise ve Leap ve Ubuntu gibi diğer önemli dağıtımlar bu güvenlik sorunundan etkilenmemektedir.
CVE-2024-3094 Arka Kapı Güvenlik Açığının Azaltılması
Fedora Linux 40 kullanıcılarına 5.4 sürümüne dönmeleri önerildi. Ayrıca tedarik zinciri saldırısından diğer birçok Linux dağıtımı da etkilendi:
Arch Linux (kurulum ortamı 2024.03.01, sanal makine görüntüleri 20240301.218094 ve 20240315.221711 ve 24 Şubat 2024 ile 28 Mart 2024 arasında oluşturulan kapsayıcı görüntüleri)
- Kali Linux (26 Mart - 29 Mart arası)
- openSUSE Tumbleweed ve openSUSE MicroOS (7 Mart - 28 Mart arasında)
- Debian testleri, kararsız ve deneysel sürümler (5.5.1alpha-0.1'den 5.6.1-1'e kadar)
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) kendi uyarısını yayınlamasına ve kullanıcılara XZ Utils'i XZ Utils 5.4.6 Stable gibi güvenlik ihlalinden etkilenmeyen bir sürüme döndürmelerini tavsiye etmesine yol açtı.
