10 из 10: В Linux обнаружен встроенный бэкдор (CVE-2024-3094)

В популярной утилите для сжатия xz, широко используемой в большинстве дистрибутивов Linux, был обнаружен скрытый бэкдор. Этот вредоносный код, внедренный в пакет утилиты, создает критическую угрозу для цепочки поставок, потенциально позволяя злоумышленникам получить несанкционированный доступ к службам SSH.

Инженер-программист из Microsoft Андрес Фроунд обнаружил бэкдор и сообщил о нем в компанию Openwall, занимающуюся разработкой дистрибутивов Linux, в пятницу утром. Вредоносные .m4 файлы, добавленные в архивы xz версии 5.6.0, выпущенной 24 февраля, содержали инструкции automake для сборки библиотеки сжатия liblzma, модифицирующие ее функции для несанкционированного доступа.

Эти изменения в liblzma могут привести к компрометации sshd из-за того, что многие дистрибутивы Linux включают в себя libsystemd. Этот компонент, отвечающий за активацию уведомлений systemd, основывается на liblzma, что делает его критическим элементом в структуре OpenSSH.

Добавленные файлы .m4 были сильно обфусцированы, очевидно, чтобы скрыть их вредоносную функцию, при этом файлы были добавлены пользователем, который был активным участником проекта xz в течение двух лет.

«Исходя из наблюдаемой активности на протяжении нескольких недель, можно предположить, что либо разработчик был непосредственно вовлечен в злонамеренную деятельность, либо его система подверглась серьезному нарушению безопасности. Однако второй вариант кажется менее вероятным, учитывая его общение в списках рассылки по поводу упомянутых «исправлений» — сообщает Фройнд в своем докладе, комментируя изменения в версии xz 5.6.1. Эти изменения, предназначенные для устранения ошибок valgrind и предотвращения сбоев, по всей видимости, были вызваны встроенным бэкдором.

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило предупреждение об этой проблеме, которая отслеживается как CVE-2024-3094 и имеет максимальный балл CVSS 10, предупреждая разработчиков и пользователей о необходимости откатиться к безопасной версии xz, например, к версии 5.4.6.

Фройнд отметил, что версии xz 5.6.0 и 5.6.1 еще не были широко интегрированы дистрибутивами Linux, а там, где они были интегрированы, в основном в предварительных версиях.

Red Hat опубликовал срочное предупреждение о безопасности в пятницу, призывая пользователей немедленно прекратить использование любых экземпляров Fedora Rawhide из-за потенциальной угрозы компрометации через xz. В предупреждении также рекомендуется пользователям откатить Fedora Linux 40 к версии, использующей xz 5.4.

Фройнд обнаружил бэкдор во время тестирования последней нестабильной версии Debian. Совет по безопасности Debian подтвердил включение уязвимой утилиты в тестовые, нестабильные и экспериментальные выпуски дистрибутива. В документе указано, что версия пакета была возвращена к 5.4.5 с рекомендацией пользователям незамедлительно обновиться. По предварительным данным, стабильные выпуски Debian не пострадали.

CVE-2024-3094 оказывает влияние и на менеджер пакетов HomeBrew для macOS. Кроме того, подтверждено, что Kali Linux — специализированный дистрибутив от OffSec для проведения тестов на проникновение — тоже подвергся воздействию этой уязвимости с 26 по 29 марта.