Уразливість CVE-2024-3094 (бекдор XZ)
Аналітики безпеки нещодавно виявили критичну вразливість із потенційно руйнівними наслідками. Відповідно до термінового повідомлення про безпеку, дві ітерації широко використовуваного інструменту стиснення даних XZ Utils (раніше відомого як LZMA Utils) були скомпрометовані зловмисним кодом. Цей код дозволяє неавторизований віддалений доступ до уражених систем.
Це порушення безпеки, ідентифіковане як CVE-2024-3094, оцінено за балом CVSS 10,0, що означає найвищий рівень серйозності. Це стосується версій 5.6.0 (випущена 24 лютого 2024 р.) і 5.6.1 (випущена 9 березня 2024 р.) XZ Utils.
Експлойт передбачає складну маніпуляцію процесом збирання liblzma. Зокрема, попередньо зібраний об’єктний файл витягується із замаскованого тестового файлу у вихідному коді. Потім цей об’єктний файл використовується для зміни певних функцій у коді liblzma, увічнюючи компроміс.
Зміст
Уразливість CVE-2024-3094 дозволяє зловмисникам надсилати довільні корисні дані
Цей загрозливий процес призводить до модифікованої версії бібліотеки liblzma, здатної перехоплювати та змінювати взаємодію даних із будь-яким програмним забезпеченням, яке її використовує.
Точніше кажучи, поганий код, вбудований у бібліотеку, створено, щоб порушити процес демона sshd, компонент SSH (Secure Shell), через пакет програмного забезпечення systemd. Ця маніпуляція потенційно надає учаснику загрози можливість скомпрометувати автентифікацію sshd і незаконно отримати віддалений доступ до системи за умови виконання певних умов.
Кінцевою метою шкідливого бекдору, представленого CVE-2024-3094, є впровадження коду на сервер OpenSSH (SSHD), який працює на жертві. Це дозволить конкретним віддаленим зловмисникам, які володіють певним закритим ключем, відправляти довільні корисні дані через SSH. Ці корисні навантаження виконуватимуться до етапу автентифікації, фактично захоплюючи контроль над усією потерпілою системою.
Уразливість CVE-2024-3094, імовірно, була навмисно запроваджена учасником шахрайства
Складно прихований шкідливий код, схоже, був інтегрований через послідовність із чотирьох комітів у проект Tukaani на GitHub користувачем, ідентифікованим як Цзя Тан (JiaT75).
Враховуючи тривалу активність протягом кількох тижнів, можна припустити, що виконавець або безпосередньо причетний, або зазнав значного зламу своєї системи. Однак останній сценарій виглядає менш правдоподібним, враховуючи їхню участь на різних форумах щодо передбачуваних «виправлень».
GitHub, який зараз належить Microsoft, вжив заходів, деактивувавши репозиторій XZ Utils, яким керує проект Tukaani, посилаючись на порушення умов надання послуг GitHub. На даний момент не було повідомлень про активну експлуатацію в дикій природі.
Розслідування показують, що ці скомпрометовані пакунки містяться виключно в дистрибутивах Fedora 41 і Fedora Rawhide. Інші основні дистрибутиви, такі як Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise і Leap, і Ubuntu залишаються незмінними для цієї проблеми безпеки.
Пом’якшення вразливості бекдора CVE-2024-3094
Користувачам Fedora Linux 40 рекомендовано повернутися до збірки 5.4. Крім того, кілька інших дистрибутивів Linux постраждали від атаки на ланцюжок поставок, зокрема:
Arch Linux (інсталяційний носій 2024.03.01, образи віртуальних машин 20240301.218094 і 20240315.221711, а також образи контейнерів, створені між 24 лютого 2024 року та 28 березня 2024 року)
- Kali Linux (з 26 по 29 березня)
- openSUSE Tumbleweed і openSUSE MicroOS (з 7 по 28 березня)
- Тестування Debian, нестабільна та експериментальна версії (від 5.5.1alpha-0.1 до 5.6.1-1)
Ця подія спонукала Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустити власне попередження, порадивши користувачам повернутися до версії XZ Utils, на яку не вплинуло злом, наприклад XZ Utils 5.4.6 Stable.
