Поиски виновника ведут к неожиданным выводам.
В популярной утилите для сжатия xz, широко используемой в большинстве дистрибутивов Linux, был обнаружен скрытый бэкдор. Этот вредоносный код, внедренный в пакет утилиты, создает критическую угрозу для цепочки поставок, потенциально позволяя злоумышленникам получить несанкционированный доступ к службам SSH.
Инженер-программист из Microsoft Андрес Фроунд обнаружил бэкдор и сообщил о нем в компанию Openwall, занимающуюся разработкой дистрибутивов Linux, в пятницу утром. Вредоносные .m4 файлы, добавленные в архивы xz версии 5.6.0, выпущенной 24 февраля, содержали инструкции automake для сборки библиотеки сжатия liblzma, модифицирующие ее функции для несанкционированного доступа.
Эти изменения в liblzma могут привести к компрометации sshd из-за того, что многие дистрибутивы Linux включают в себя libsystemd. Этот компонент, отвечающий за активацию уведомлений systemd, основывается на liblzma, что делает его критическим элементом в структуре OpenSSH.
Добавленные файлы .m4 были сильно обфусцированы, очевидно, чтобы скрыть их вредоносную функцию, при этом файлы были добавлены пользователем, который был активным участником проекта xz в течение двух лет.
«Исходя из наблюдаемой активности на протяжении нескольких недель, можно предположить, что либо разработчик был непосредственно вовлечен в злонамеренную деятельность, либо его система подверглась серьезному нарушению безопасности. Однако второй вариант кажется менее вероятным, учитывая его общение в списках рассылки по поводу упомянутых «исправлений» — сообщает Фройнд в своем докладе, комментируя изменения в версии xz 5.6.1. Эти изменения, предназначенные для устранения ошибок valgrind и предотвращения сбоев, по всей видимости, были вызваны встроенным бэкдором.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило предупреждение об этой проблеме, которая отслеживается как CVE-2024-3094 и имеет максимальный балл CVSS 10, предупреждая разработчиков и пользователей о необходимости откатиться к безопасной версии xz, например, к версии 5.4.6.
Фройнд отметил, что версии xz 5.6.0 и 5.6.1 еще не были широко интегрированы дистрибутивами Linux, а там, где они были интегрированы, в основном в предварительных версиях.
Red Hat опубликовал срочное предупреждение о безопасности в пятницу, призывая пользователей немедленно прекратить использование любых экземпляров Fedora Rawhide из-за потенциальной угрозы компрометации через xz. В предупреждении также рекомендуется пользователям откатить Fedora Linux 40 к версии, использующей xz 5.4.
Фройнд обнаружил бэкдор во время тестирования последней нестабильной версии Debian. Совет по безопасности Debian подтвердил включение уязвимой утилиты в тестовые, нестабильные и экспериментальные выпуски дистрибутива. В документе указано, что версия пакета была возвращена к 5.4.5 с рекомендацией пользователям незамедлительно обновиться. По предварительным данным, стабильные выпуски Debian не пострадали.
CVE-2024-3094 оказывает влияние и на менеджер пакетов HomeBrew для macOS. Кроме того, подтверждено, что Kali Linux — специализированный дистрибутив от OffSec для проведения тестов на проникновение — тоже подвергся воздействию этой уязвимости с 26 по 29 марта.
Ладно, не доказали. Но мы работаем над этим