Компания Binarly, специализирующаяся на безопасности программного обеспечения, разработала бесплатный онлайн-сканер для выявления файлов Linux, подверженных влиянию атаки на цепочку поставок в утилитах XZ Utils, получившей обозначение CVE-2024-3094.
CVE-2024-3094 представляет собой компрометацию цепочки поставок в XZ Utils – наборе инструментов и библиотек для сжатия данных, используемых в многих основных дистрибутивах Linux.
Открытие вредоносного кода в последней версии пакета XZ Utils произошло инженером Microsoft Андресом Фрейдом в ходе расследования замедления входа в систему через SSH в Debian Sid.
Вредоносный код был добавлен анонимным участником сообщества разработчиков в версию XZ 5.6.0 и сохранялся в 5.6.1, однако большинство дистрибутивов Linux использовали более раннюю, безопасную версию библиотеки. Для распространения заражения на все актуальные дистрибутивы понадобилось бы довольно много времени, но, к счастью, бэкдор обнаружили довольно быстро.
В ответ на выявление бэкдора американское агентство CISA предложило всем затронутым поставщикам программного обеспечения откатить XZ Utils в своих сборках до версии 5.4.6 Stable, а также сообщать потенциальных пострадавших о любой фиксируемой ими вредоносной активности.
Binarly отмечает, что предыдущие методы борьбы с угрозой, основанные на простых проверках, таких как сопоставление строк байтов, блокирование хэшей файлов и правила YARA, могут приводить к ложным срабатываниям. Разработанный компанией сканер предназначен для выявления подобного рода бэкдорах в любых файлах, используя статический анализ бинарных файлов для определения подмены переходов в GNU Indirect Function (IFUNC).
Особенность злоумышленного кода заключается в изменении вызовов IFUNC для перехвата выполнения, что позволяет вставлять вредоносный код. Этот механизм используется найденным бэкдором для первоначального контроля над выполнением кода.
Сканер Binarly увеличивает эффективность обнаружения, поскольку он сканирует различные точки цепочки поставок, не ограничиваясь только проектом XZ Utils, и предоставляет результаты с гораздо большей точностью.
Онлайн-сканер уже доступен на сайте xz.fail. Он позволяет пользователям загружать свои бинарные файлы для бесплатной проверки без ограничений. Кроме того, Binarly предоставила бесплатный API для выполнения массовых проверок для тех, кто в этом нуждается, что упрощает процесс обнаружения и защиты от атаки на цепочку поставок.