У п’ятницю компанія RedHat опублікувала «термінове сповіщення системи безпеки». У ньому попереджалось про те, що дві версії популярної бібліотеки стиснення даних під назвою XZ Utils (раніше LZMA Utils) містять бекдори зі шкідливим кодом, який призначений для несанкціонованого віддаленого доступу.
Компрометація ланцюжка постачання програмного забезпечення, CVE-2024-3094, має оцінку CVSS 10.0, що вказує на максимальну серйозність. Це стосується версій XZ Utils 5.6.0 (випущено 24 лютого) і 5.6.1 (випущено 9 березня).
«Шляхом серії складних обфускацій процес збірки liblzma витягує попередньо зібраний об’єктний файл із замаскованого тестового файлу, що існує у вихідному коді, який потім використовується для зміни певних функцій у коді liblzma», – йдеться в повідомленні дочірньої компанії IBM.
«Це призводить до модифікації бібліотеки liblzma. Потім, це може використовувати будь-яке програмне забезпечення, пов’язане з цією бібліотекою, перехоплюючи та змінюючи взаємодію даних із цією бібліотекою».
Зокрема, вбудований зловмисний код створений з метою втручання за допомогою daemon процесу sshd для SSH (Secure Shell) через пакет systemd. Це потенційно дозволяє зловмиснику зламати автентифікацію sshd і отримати неавторизований доступ до системи віддалено «за певних сприятливих обставин».
Фахівцю з безпеки компанії Microsoft Андресу Фройнду приписують виявлення проблеми та повідомлення про неї в п’ятницю. Кажуть, що сильно заплутаний шкідливий код був представлений користувачем JiaT75 протягом серії з чотирьох комітів у проєкт Tukaani на GitHub.
«Враховуючи діяльність протягом кількох тижнів, виконавець або безпосередньо залучений, або сталася досить серйозна компрометація його системи», — сказав Фройнд. «На жаль, останнє виглядає менш вірогідним поясненням, враховуючи, що вони повідомляли про «виправлення» в різних списках».
GitHub, що належить Microsoft, відключив репозиторій XZ Utils, який підтримує проєкт Tukaani, «через порушення умов надання послуг GitHub». Наразі немає повідомлень про активну експлуатацію цієї вразливості.
Докази показують, що пакунки присутні лише у Fedora 41 і Fedora Rawhide і не впливають на Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux і SUSE Linux Enterprise і Leap.
З міркувань безпеки користувачам Fedora Linux 40 рекомендовано повернутися до версії 5.4. Нижче наведено деякі з інших дистрибутивів Linux, на які вплинула ця атака:
- Kali Linux (випущена з 26 по 29 березня)
- openSUSE Tumbleweed і openSUSE MicroOS (випущена з 7 по 28 березня)
- Тестова Debian, нестабільна та експериментальна версії (від 5.5.1alpha-0.1 до 5.6.1-1)
Ця подія спонукала Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустити власне сповіщення, закликаючи користувачів повернутися до безпечної версії XZ Utils (наприклад, XZ Utils 5.4.6 Stable).
