CVE-2024-3094-sårbarhet (XZ Backdoor) oppdaget i Linux-datakomprimeringsbibliotek

Red Hat utstedte en presserende sikkerhetsrådgivning på fredag angående to versjoner av det mye brukte datakomprimeringsverktøyet XZ Utils, tidligere kjent som LZMA Utils, som har blitt kompromittert med ondsinnet kode rettet mot uautorisert ekstern tilgang.

Sikkerhetsfeilen, identifisert som CVE-2024-3094 og vurdert med en alvorlighetsgrad på 10,0, påvirker XZ Utils versjoner 5.6.0 (utgitt 24. februar) og 5.6.1 (utgitt 9. mars).

I følge Red Hat injiseres den kompromitterte koden i liblzma-biblioteket via en kompleks prosess under byggingen, som tillater avskjæring og modifikasjon av datainteraksjoner. Konkret tar koden sikte på å tukle med sshd-demonprosessen i systemd-programvarepakken, noe som potensielt muliggjør uautorisert tilgang til systemet under visse forhold.

Bakdør tillater vilkårlig nyttelast gjennom SSH

Det endelige målet med denne bakdøren, som identifisert av JFrog, er å injisere kode i OpenSSH-serveren (SSHD) for å tillate spesifikke eksterne angripere med en bestemt privat nøkkel å utføre vilkårlige nyttelaster gjennom SSH før autentisering, i hovedsak ta kontroll over offerets maskin.

Problemet ble brakt frem av Microsofts sikkerhetsforsker Andres Freund, som identifiserte sterkt skjult ondsinnet kode introdusert gjennom en rekke forpliktelser til Tukaani-prosjektets GitHub-depot av en bruker ved navn Jia Tan (JiaT75).

GitHub, eid av Microsoft, har iverksatt tiltak ved å deaktivere XZ Utils-depotet på grunn av brudd på tjenestevilkårene. Per nå har det ikke vært rapportert tilfeller av aktiv utnyttelse i naturen.

De berørte pakkene er kun funnet i Fedora 41 og Fedora Rawhide, uten innvirkning på andre distribusjoner som Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise og Leap , og Ubuntu.