В библиотеке сжатия данных Linux обнаружена уязвимость CVE-2024-3094 (бэкдор XZ)

В пятницу Red Hat выпустила срочную рекомендацию по безопасности в отношении двух версий широко используемого инструмента сжатия данных XZ Utils, ранее известного как LZMA Utils, которые были скомпрометированы вредоносным кодом, предназначенным для несанкционированного удаленного доступа.

Уязвимость безопасности, обозначенная как CVE-2024-3094 и имеющая уровень серьезности 10,0, затрагивает версии XZ Utils 5.6.0 (выпущена 24 февраля) и 5.6.1 (выпущена 9 марта).

По данным Red Hat, скомпрометированный код в библиотеке liblzma внедряется в ходе сложного процесса во время сборки, что позволяет перехватывать и изменять взаимодействие данных. В частности, код направлен на вмешательство в процесс демона sshd в программном пакете systemd, потенциально обеспечивая несанкционированный доступ к системе при определенных условиях.

Бэкдор позволяет передавать произвольную полезную нагрузку через SSH

Конечная цель этого бэкдора, как определил JFrog, — внедрить код в сервер OpenSSH (SSHD), чтобы позволить конкретным удаленным злоумышленникам с определенным секретным ключом выполнять произвольные полезные данные через SSH перед аутентификацией, по сути, получая контроль над компьютером жертвы.

Проблема была выявлена исследователем безопасности Microsoft Андресом Фройндом, который обнаружил сильно запутанный вредоносный код, введенный в результате серии коммитов в репозиторий GitHub проекта Tukaani, сделанный пользователем по имени Цзя Тан (JiaT75).

GitHub, принадлежащий Microsoft, принял меры, отключив репозиторий XZ Utils из-за нарушения его условий обслуживания. На данный момент случаев активной эксплуатации в дикой природе не зарегистрировано.

Затронутые пакеты были обнаружены только в Fedora 41 и Fedora Rawhide, без влияния на другие дистрибутивы, такие как Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise и Leap. и Убунту.