CVE-2024-3094 Sårbarhet (XZ Backdoor) upptäckt i Linux Data Compression Library

Red Hat utfärdade en brådskande säkerhetsrådgivning på fredagen angående två versioner av det flitigt använda datakomprimeringsverktyget XZ Utils, tidigare känt som LZMA Utils, som har äventyrats med skadlig kod som syftar till obehörig fjärråtkomst.

Säkerhetsfelet, identifierat som CVE-2024-3094 och betygsatt med ett allvarlighetsgrad på 10,0, påverkar XZ Utils version 5.6.0 (släpptes den 24 februari) och 5.6.1 (släpptes den 9 mars).

Enligt Red Hat injiceras den komprometterade koden i liblzma-biblioteket via en komplex process under konstruktionen, vilket möjliggör avlyssning och modifiering av datainteraktioner. Specifikt syftar koden till att manipulera sshd-demonprocessen inom systemd-programsviten, vilket potentiellt möjliggör obehörig åtkomst till systemet under vissa förhållanden.

Bakdörr tillåter godtyckliga nyttolaster via SSH

Det slutliga målet med denna bakdörr, som identifierats av JFrog, är att injicera kod i OpenSSH-servern (SSHD) för att tillåta specifika fjärrangripare med en viss privat nyckel att exekvera godtyckliga nyttolaster genom SSH före autentisering, i huvudsak ta kontroll över offrets maskin.

Problemet uppdagades av Microsofts säkerhetsforskare Andres Freund, som identifierade kraftigt fördunklad skadlig kod som introducerats genom en serie åtaganden till Tukaani-projektets GitHub-förråd av en användare som heter Jia Tan (JiaT75).

GitHub, som ägs av Microsoft, har vidtagit åtgärder genom att inaktivera XZ Utils-förvaret på grund av ett brott mot dess användarvillkor. Hittills har det inte rapporterats några fall av aktiv exploatering i naturen.

De drabbade paketen har endast hittats i Fedora 41 och Fedora Rawhide, utan inverkan på andra distributioner som Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise och Leap , och Ubuntu.