Бекдор у xz, що може впливати на SSH CVE-2024-3094
Хто нещодавно оновлювався перевірте.

У популярній утиліті для стискання xz, що широко використовується в більшості дистрибутивів Linux, був виявлений прихований бекдор. Цей шкідливий код, впроваджений у пакет утиліти, створює критичну загрозу для ланцюга поставок, що потенційно дозволяє зловмисникам отримати несанкціонований доступ до служб SSH.

Програміст із Microsoft Andres Freund виявив бекдор і повідомив про нього в компанію Openwall, яка займається безпекою Linux, у п'ятницю вранці. Шкідливі .m4 файли, додані до архівів xz версії 5.6.0, випущеної 24 лютого, містили інструкції automake для складання бібліотеки стиснення liblzma, що модифікують її функції для несанкціонованого доступу.

Ці зміни в liblzma можуть призвести до компрометації sshd через те, що багато дистрибутивів Linux включають libsystemd. Цей компонент, що відповідає за активацію повідомлень systemd, ґрунтується на liblzma, що робить його критичним елементом у структурі OpenSSH.
Додані файли .m4 були сильно обфусковані, вочевидь, аби приховати їхню шкідливу функцію, при цьому файли були додані користувачем, який був активним учасником проекту xz протягом двох років.

Агентство кібербезпеки та інфраструктурної безпеки США (CISA) випустило попередження про цю проблему, яка відстежується як CVE-2024-3094 і має максимальний бал CVSS 10, попереджаючи розробників та користувачів про необхідність відкотитися до безпечної версії xz, наприклад, версії 5.4.6

Freund зазначив, що версії xz 5.6.0 та 5.6.1 ще не були широко інтегровані дистрибутивами Linux.

Red Hat опублікував термінове попередження про безпеку у п'ятницю, закликаючи користувачів негайно припинити використання будь-яких екземплярів Fedora Rawhide через потенційну загрозу компрометації через xz. У попередженні також рекомендується користувачам відкатати Fedora Linux 40 до версії xz 5.4.

Freund виявив бекдор під час тестування останньої нестабільної версії Debian. Рада з безпеки Debian підтвердила включення вразливої утиліти до тестових, нестабільних та експериментальних випусків дистрибутива. У документі зазначено, що версію пакета було повернуто до 5.4.5 з рекомендацією користувачам негайно оновитися. За попередніми даними, стабільні випуски Debian не постраждали.

CVE-2024-3094 впливає і на менеджер пакетів HomeBrew для MacOS. Крім того, підтверджено, що Kali Linux – спеціалізований дистрибутив від OffSec для проведення тестів на проникнення – також зазнав впливу цієї вразливості з 26 по 29 березня.
Публікації за темою:
більше приховати
Ви маєте увійти під своїм обліковим записом

loading