CVE-2024-3094 Sårbarhed (XZ Backdoor) opdaget i Linux Data Compression Library

Red Hat udsendte fredag en presserende sikkerhedsadvisering vedrørende to versioner af det meget brugte datakomprimeringsværktøj XZ Utils, tidligere kendt som LZMA Utils, som er blevet kompromitteret med ondsindet kode rettet mod uautoriseret fjernadgang.

Sikkerhedsfejlen, identificeret som CVE-2024-3094 og vurderet med en alvorlighedsscore på 10,0, påvirker XZ Utils version 5.6.0 (udgivet den 24. februar) og 5.6.1 (udgivet den 9. marts).

Ifølge Red Hat injiceres den kompromitterede kode i liblzma-biblioteket via en kompleks proces under opbygningen, hvilket tillader opfangning og modifikation af datainteraktioner. Konkret har koden til formål at manipulere med sshd-dæmon-processen i systemd-softwarepakken, hvilket potentielt muliggør uautoriseret adgang til systemet under visse betingelser.

Bagdør tillader vilkårlige nyttelaster gennem SSH

Det ultimative formål med denne bagdør, som identificeret af JFrog, er at injicere kode i OpenSSH-serveren (SSHD) for at tillade specifikke fjernangribere med en bestemt privat nøgle at udføre vilkårlige nyttelaster gennem SSH før godkendelse, og i det væsentlige tage kontrol over offerets maskine.

Problemet blev bragt frem af Microsofts sikkerhedsforsker Andres Freund, som identificerede stærkt sløret ondsindet kode introduceret gennem en række commits til Tukaani-projektets GitHub-lager af en bruger ved navn Jia Tan (JiaT75).

GitHub, ejet af Microsoft, har truffet handling ved at deaktivere XZ Utils-lageret på grund af en overtrædelse af dets servicevilkår. Indtil videre har der ikke været rapporteret tilfælde af aktiv udnyttelse i naturen.

De berørte pakker er kun fundet i Fedora 41 og Fedora Rawhide uden indvirkning på andre distributioner såsom Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise og Leap , og Ubuntu.