Lỗ hổng CVE-2024-3094 (XZ Backdoor)

Các nhà phân tích bảo mật gần đây đã phát hiện ra một lỗ hổng nghiêm trọng có khả năng gây hậu quả nghiêm trọng. Theo lời khuyên bảo mật khẩn cấp, hai phiên bản của công cụ nén dữ liệu được sử dụng rộng rãi, XX Utils (trước đây gọi là LZMA Utils), đã bị xâm phạm bởi mã độc. Mã này cho phép truy cập từ xa trái phép vào các hệ thống bị ảnh hưởng.

Vi phạm bảo mật này, được xác định là CVE-2024-3094, được đánh giá với điểm CVSS là 10,0, biểu thị mức độ nghiêm trọng cao nhất. Nó ảnh hưởng đến phiên bản 5.6.0 (phát hành ngày 24 tháng 2 năm 2024) và 5.6.1 (phát hành ngày 9 tháng 3 năm 2024) của Xperia XUtils.

Việc khai thác liên quan đến việc thao túng tinh vi quá trình xây dựng liblzma. Cụ thể, tệp đối tượng dựng sẵn được trích xuất từ tệp thử nghiệm được ngụy trang trong mã nguồn. Sau đó, tệp đối tượng này được sử dụng để thay đổi các chức năng cụ thể trong mã liblzma, duy trì sự xâm phạm.

Lỗ hổng CVE-2024-3094 cho phép kẻ tấn công gửi tải trọng tùy ý

Quá trình đe dọa dẫn đến một phiên bản sửa đổi của thư viện liblzma, có khả năng chặn và thay đổi các tương tác dữ liệu với bất kỳ phần mềm nào sử dụng nó.

Chính xác hơn, mã xấu được nhúng trong thư viện được tạo ra để phá vỡ quy trình daemon sshd, một thành phần của SSH (Secure Shell), thông qua bộ phần mềm systemd. Thao tác này có khả năng cấp cho kẻ đe dọa khả năng xâm phạm xác thực sshd và truy cập trái phép vào hệ thống từ xa, tùy thuộc vào việc đáp ứng một số điều kiện nhất định.

Mục đích cuối cùng của cửa hậu độc hại do CVE-2024-3094 giới thiệu là tiêm mã vào máy chủ OpenSSH (SSHD) đang chạy trên máy bị nạn nhân. Điều này sẽ cho phép những kẻ tấn công từ xa cụ thể, sở hữu một khóa riêng cụ thể, gửi tải trọng tùy ý thông qua SSH. Các tải trọng này sẽ thực thi trước giai đoạn xác thực, chiếm quyền kiểm soát toàn bộ hệ thống nạn nhân một cách hiệu quả.

Lỗ hổng CVE-2024-3094 có thể được cố ý tạo ra bởi một kẻ liên quan đến gian lận

Mã độc được che giấu phức tạp dường như đã được tích hợp thông qua chuỗi bốn cam kết đối với Dự án Tukaani trên GitHub bởi một người dùng được xác định là Jia Tan (JiaT75).

Xem xét hoạt động được duy trì kéo dài vài tuần, điều đó cho thấy rằng người thực hiện có liên quan trực tiếp hoặc đã trải qua một sự xâm phạm đáng kể đối với hệ thống của họ. Tuy nhiên, kịch bản thứ hai có vẻ kém hợp lý hơn do họ tham gia vào nhiều diễn đàn khác nhau liên quan đến các 'bản sửa lỗi' có mục đích.

GitHub, hiện thuộc quyền sở hữu của Microsoft, đã thực hiện hành động bằng cách vô hiệu hóa kho lưu trữ ZIP Utils do Dự án Tukaani quản lý, với lý do vi phạm điều khoản dịch vụ của GitHub. Cho đến nay, chưa có báo cáo nào về việc khai thác tích cực trong tự nhiên.

Các cuộc điều tra chỉ ra rằng các gói bị xâm phạm này chỉ được tìm thấy trong các bản phân phối Fedora 41 và Fedora Rawhide. Các bản phân phối lớn khác như Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise và Leap, và Ubuntu vẫn không bị ảnh hưởng bởi vấn đề bảo mật này.

Giảm thiểu lỗ hổng cửa sau CVE-2024-3094

Người dùng Fedora Linux 40 đã được khuyên nên quay lại bản dựng 5.4. Ngoài ra, một số bản phân phối Linux khác đã bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng, bao gồm:

Arch Linux (phương tiện cài đặt 2024.03.01, hình ảnh máy ảo 20240301.218094 và 20240315.221711 cũng như hình ảnh vùng chứa được tạo từ ngày 24 tháng 2 năm 2024 đến ngày 28 tháng 3 năm 2024)

• Kali Linux (từ 26 tháng 3 đến 29 tháng 3)
• openSUSE Tumbleweed và openSUSE MicroOS (từ ngày 7 đến ngày 28 tháng 3)
• Phiên bản thử nghiệm, không ổn định và thử nghiệm Debian (từ 5.5.1alpha-0.1 đến 5.6.1-1)

Diễn biến này đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đưa ra cảnh báo riêng, khuyến cáo người dùng nên hoàn nguyên XC Utils về phiên bản không bị ảnh hưởng bởi sự xâm phạm, chẳng hạn như Xperia Xz Utils 5.4.6 Stable.