CVE-2024-3094-kwetsbaarheid (XZ-backdoor) ontdekt in Linux-gegevenscompressiebibliotheek
Red Hat heeft vrijdag een dringend beveiligingsadvies uitgebracht met betrekking tot twee versies van de veelgebruikte datacompressietool XZ Utils, voorheen bekend als LZMA Utils, die zijn gecompromitteerd met kwaadaardige code gericht op ongeautoriseerde toegang op afstand.
De beveiligingsfout, geïdentificeerd als CVE-2024-3094 en beoordeeld met een ernstscore van 10,0, treft XZ Utils-versies 5.6.0 (uitgebracht op 24 februari) en 5.6.1 (uitgebracht op 9 maart).
Volgens Red Hat wordt de gecompromitteerde code binnen de liblzma-bibliotheek tijdens de bouw via een complex proces geïnjecteerd, waardoor gegevensinteracties kunnen worden onderschept en gewijzigd. Concreet is de code bedoeld om te knoeien met het sshd-daemonproces binnen de systemd-softwaresuite, waardoor ongeautoriseerde toegang tot het systeem onder bepaalde omstandigheden mogelijk wordt gemaakt.
Backdoor maakt willekeurige payloads mogelijk via SSH
Het uiteindelijke doel van deze achterdeur, zoals geïdentificeerd door JFrog, is om code in de OpenSSH-server (SSHD) te injecteren, zodat specifieke externe aanvallers met een bepaalde privésleutel willekeurige payloads via SSH kunnen uitvoeren vóór authenticatie, waardoor ze in feite de controle over de machine van het slachtoffer overnemen.
Het probleem werd aan het licht gebracht door Microsoft-beveiligingsonderzoeker Andres Freund, die zwaar versluierde kwaadaardige code identificeerde die was geïntroduceerd via een reeks commits in de GitHub-repository van het Tukaani Project door een gebruiker genaamd Jia Tan (JiaT75).
GitHub, eigendom van Microsoft, heeft actie ondernomen door de XZ Utils-repository uit te schakelen vanwege een schending van de servicevoorwaarden. Tot nu toe zijn er geen gevallen gemeld van actieve uitbuiting in het wild.
De getroffen pakketten zijn alleen gevonden in Fedora 41 en Fedora Rawhide, zonder impact op andere distributies zoals Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise en Leap en Ubuntu.