Vulnérabilité CVE-2024-3094 (porte dérobée XZ) découverte dans la bibliothèque de compression de données Linux
Red Hat a publié vendredi un avis de sécurité urgent concernant deux versions de l'outil de compression de données largement utilisé XZ Utils, anciennement connu sous le nom de LZMA Utils, qui ont été compromises par un code malveillant visant un accès à distance non autorisé.
La faille de sécurité, identifiée comme CVE-2024-3094 et évaluée avec un score de gravité de 10,0, affecte les versions 5.6.0 (publiées le 24 février) et 5.6.1 (publiées le 9 mars) de XZ Utils.
Selon Red Hat, le code compromis au sein de la bibliothèque liblzma est injecté via un processus complexe lors de la construction, permettant l'interception et la modification des interactions de données. Plus précisément, le code vise à altérer le processus démon sshd au sein de la suite logicielle systemd, permettant potentiellement un accès non autorisé au système dans certaines conditions.
La porte dérobée permet des charges utiles arbitraires via SSH
L'objectif ultime de cette porte dérobée, identifié par JFrog, est d'injecter du code dans le serveur OpenSSH (SSHD) pour permettre à des attaquants distants spécifiques disposant d'une clé privée particulière d'exécuter des charges utiles arbitraires via SSH avant l'authentification, prenant essentiellement le contrôle de la machine de la victime.
Le problème a été mis en lumière par Andres Freund, chercheur en sécurité chez Microsoft, qui a identifié un code malveillant fortement obscurci introduit via une série de commits dans le référentiel GitHub du projet Tukaani par un utilisateur nommé Jia Tan (JiaT75).
GitHub, propriété de Microsoft, a pris des mesures en désactivant le référentiel XZ Utils en raison d'une violation de ses conditions de service. Pour l’instant, aucun cas d’exploitation active dans la nature n’a été signalé.
Les packages concernés ont été trouvés uniquement dans Fedora 41 et Fedora Rawhide, sans impact sur d'autres distributions telles que Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise et Leap. et Ubuntu.