В библиотеката на XZ Utils е открита тайна задна врата, която засяга основните Linux дистрибуции

30 март 2024 гредакцияLinux/атака на веригата за доставки

RedHat издаде в петък „спешно предупреждение за сигурността“ за изтегляне на две версии на своята популярна библиотека за компресиране на данни XZ инструменти (по-рано известен като LZMA Utils) беше компрометиран с помощта на зловреден код, предназначен да позволи неоторизиран отдалечен достъп.

Компрометиране на веригата за доставка на софтуер, проследено като CVE-2024-3094, има CVSS резултат от 10,0, което показва максимална тежест. Той засяга XZ Utils версии 5.6.0 (издадена на 24 февруари) и 5.6.1 (издадена на 9 март).

„Чрез серия от сложни операции по обфускация, процесът на изграждане на liblzma извлича предварително генериран обектен файл от маскиран тестов файл, съдържащ се в изходния код, който след това се използва за модифициране на специфични функции в кода на liblzma“, каза филиалът на IBM. Той каза На консултация.

„Това води до модифицирана библиотека liblzma, която може да се използва от всяка програма, свързана с тази библиотека, и за прихващане и модифициране на взаимодействието на данни с тази библиотека.“

По-конкретно, подлият код, скрит в кода, е Проектиран За да се намесите в процеса на sshd демон за SSH (Secure Shell) чрез systemd Софтуерният пакет, който потенциално позволява на заплахата да наруши sshd удостоверяването и да получи неоторизиран достъп до системата от разстояние „при подходящи обстоятелства“.

Изследователят по сигурността на Microsoft Андерс Фройнд е признат за откриването и докладването на проблема в петък. Твърди се, че силно обфусцираният злонамерен код е въведен чрез серия от четири ангажимента Проект Токани В GitHub от потребител на име JiaT75.

„Като се има предвид, че дейността продължава от няколко седмици, извършителят или е пряко замесен, или е имало някакъв изключителен компромис с тяхната система“, каза Фройнд. Той каза. „За съжаление последното изглежда най-малко вероятното обяснение, тъй като в различни листи се говори за „реформи“.

Оттогава GitHub, собственост на Microsoft Деактивирайте хранилището на XZ Utils Поддържа се от проекта Tukaani „поради нарушение на условията за ползване на GitHub“. В момента няма съобщения за активна експлоатация в природата.

Доказателствата показват, че пакетите съществуват само във Fedora 41 и Fedora Rawhide и не засягат Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon LinuxИ SUSE Linux Enterprise и Leap.

От голяма предпазливост потребителите на Fedora Linux 40 се съветват да преминат към версия 5.4. Ето някои други Linux дистрибуции, засегнати от атаката на веригата за доставки –

Това развитие накара Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) да издаде заповед Предупреди Сам по себе си той призовава потребителите да понижат XZ Utils до версия без понижаване (например XZ Utils 5.4.6 Stable).