Уязвимость CVE-2024-3094 в XZ Utils - популярной утилите сжатия формата XZ, включенной в большинство дистрибутивов Linux - может «позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе», предупреждает Red Hat.
CVE-2024-3094 и обход аутентификации OpenSSH
Причиной уязвимости на самом деле является вредоносный код, присутствующий в версиях 5.6.0 (выпущен в конце февраля) и 5.6.1 (выпущен 9 марта) библиотек xz, который был случайно обнаружен Андресом Фройндом, разработчиком и программистом PostgreSQL в Майкрософт.
«После наблюдения нескольких странных симптомов, связанных с liblzma (часть пакета xz) в установках Debian sid в течение последних недель (вход в систему с использованием ssh, отнимающий много ресурсов процессора, ошибки valgrind), я нашел ответ: upstream-репозиторий xz и xz-tarball содержали бэкдор»
— поделился он в списке рассылки oss-security.
О CVE-2024-3094
По мнению Red Hat, вредоносное внедрение в уязвимые версии библиотек замаскировано и включено только в полном объеме в пакет загрузки.
«В дистрибутиве Git отсутствует макрос M4, запускающий сборку вредоносного кода. Артефакты второго этапа присутствуют в репозитории Git для внедрения во время сборки на случай присутствия вредоносного макроса M4»
— добавили они.
Полученная вредоносная сборка мешает аутентификации в sshd через systemd
Вредоносный сценарий в архивах запутан, как и файлы, содержащие основную часть эксплойта, так что это, скорее всего, не случайно.
«Учитывая активность в течение нескольких недель, можно сделать вывод, что коммиттер либо непосредственно замешан в этом, либо имела место довольно серьезная компрометация их системы. К сожалению, последнее выглядит менее вероятным объяснением, учитывая, что они сообщали в различных списках об «исправлениях» [ошибок, вызванных внедренным кодом в версии 5.6.0]»
— прокомментировал Фройнд.
«К счастью, xz 5.6.0 и 5.6.1 еще не широко интегрированы в дистрибутивы Linux, а где и были, в основном в предварительных версиях».
Какие дистрибутивы затронуты?
Red Hat сообщает, что уязвимые пакеты присутствуют в Fedora 41 и Fedora Rawhide, и призывает пользователей этих дистрибутивов немедленно прекратить их использование.
«Если вы используете уязвимый дистрибутив в бизнес-среде, мы рекомендуем вам связаться с вашей командой по информационной безопасности для дальнейших действий»
— сказали они и добавили, что ни одна версия Red Hat Enterprise Linux (RHEL) не затронута.
SUSE выпустила исправление для пользователей openSUSE.
Debian утверждает, что никакие стабильные версии дистрибутива не затронуты, но что скомпрометированные пакеты были частью тестовых, нестабильных и экспериментальных дистрибутивов Debian, и пользователи этих дистрибутивов должны обновить пакеты xz-utils.
«Вредоносный код, обнаруженный в последних версиях библиотек xz, показывает, насколько важно иметь бдительную и опытную команду безопасности Linux, контролирующую каналы цепочки поставок программного обеспечения»
— рассказал Help Net Security Винсент Данен, вице-президент по безопасности продуктов в Red Hat.
«Red Hat вместе с CISA и другими дистрибутивами Linux смогли идентифицировать, оценить и помочь устранить эту потенциальную угрозу, прежде чем она стала представлять значительный риск для более широкого сообщества Linux»
CISA посоветовала разработчикам и пользователям понизить версию XZ Utils до нескомпрометированной версии (например, XZ Utils 5.4.6 Stable), а также отслеживать любые вредоносные действия и сообщать агентству о любых положительных результатах.
Kali Linux объявила, что влияние этой уязвимости затронуло Kali в период с 26 по 29 марта. Если вы обновили установку Kali 26 марта или позже, применение последних обновлений сегодня имеет решающее значение для решения этой проблемы. Однако, если вы не обновили установку Kali до 26-го числа, эта бэкдор-уязвимость не затрагивает вас.
UPD
Рабор уязвимости на OpenNET
