В утилите для сжатия xz, широко используемой в большинстве дистрибутивах Linux, был обнаружен скрытый доступ (бэкдор). Этот вредоносный код в пакете утилиты создает критическую угрозу для цепочки поставок, потенциально позволяя несанкционированный доступ к службам SSH.
Инженер-программист из Microsoft Андрес Фроунд обнаружил бэкдор и сообщил о нем в компанию Openwall, занимающуюся разработкой дистрибутивов Linux, в пятницу утром. Вредоносные .m4 файлы, добавленные в архивы xz версии 5.6.0, выпущенной 24 февраля, содержали инструкции automake для сборки библиотеки сжатия liblzma, модифицирующие ее функции для несанкционированного доступа.
Эти изменения в liblzma могут привести к компрометации sshd из-за того, что многие дистрибутивы Linux включают в себя libsystemd. Этот компонент, отвечающий за активацию уведомлений systemd, основывается на liblzma, что делает его критическим элементом в структуре OpenSSH.
Добавленные файлы .m4 были сильно обфусцированы, очевидно, чтобы скрыть их вредоносную функцию, и были добавлены пользователем, который был активным участником проекта xz в течение двух лет.
“Исходя из наблюдаемой активности на протяжении нескольких недель, можно предположить, что либо разработчик был непосредственно вовлечен, либо его система подверглась серьезному нарушению безопасности. Однако второй вариант кажется менее вероятным, учитывая его общение в списках рассылки по поводу упомянутых “исправлений” – сообщает Фройнд в своем докладе, комментируя изменения в версии xz 5.6.1. Эти изменения, предназначенные для устранения ошибок valgrind и предотвращения сбоев, по всей видимости, были вызваны встроенным бэкдором.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило предупреждение об этой проблеме, которая отслеживается как CVE-2024-3094 и имеет максимальный балл CVSS 10, предупреждая разработчиков и пользователей о необходимости откатиться к безопасной версии xz, например, к версии 5.4.6.
Фройнд отметил, что версии xz 5.6.0 и 5.6.1 еще не были широко интегрированы дистрибутивами Linux, а там, где они были интегрированы, в основном в предварительных версиях.
Red Hat опубликовал срочное предупреждение о безопасности в пятницу, призывая пользователей немедленно прекратить использование любых экземпляров Fedora Rawhide из-за потенциальной угрозы компрометации через xz. В предупреждении также рекомендуется пользователям откатить Fedora Linux 40 к версии, использующей xz 5.4.
Фройнд обнаружил бэкдор во время тестирования последней нестабильной версии Debian. Совет по безопасности Debian подтвердил включение уязвимой утилиты в тестовые, нестабильные и экспериментальные выпуски дистрибутива. В документе указано, что версия пакета была возвращена к 5.4.5 с рекомендацией пользователям незамедлительно обновиться. По предварительным данным, стабильные выпуски Debian не пострадали.
CVE-2024-3094 оказывает влияние и на менеджер пакетов HomeBrew для macOS. Кроме того, подтверждено, что Kali Linux – специализированный дистрибутив от OffSec для проведения тестов на проникновение – тоже подвергся воздействию этой уязвимости с 26 по 29 марта.