Η Red Hat την Παρασκευή προειδοποίησε ότι μια κακόβουλη κερκόπορτα που βρέθηκε στην ευρέως χρησιμοποιούμενη βιβλιοθήκη λογισμικού συμπίεσης δεδομένων xz ενδέχεται να υπάρχει σε περιπτώσεις του Fedora Linux 40 και στη διανομή προγραμματιστών Fedora Rawhide.
Ο γίγαντας της πληροφορικής είπε ότι ο κακόβουλος κώδικας, ο οποίος φαίνεται να παρέχει απομακρυσμένη πρόσβαση σε κερκόπορτα μέσω του OpenSSH και του συστήματος τουλάχιστον, υπάρχει στα xz 5.6.0 και 5.6.1. Η ευπάθεια έχει χαρακτηριστεί CVE-2024-3094. Βαθμολογείται με 10 στα 10 σε σοβαρότητα CVSS.
Οι χρήστες του Fedora Linux 40 μπορεί να έχουν λάβει 5.6.0, ανάλογα με το χρόνο των ενημερώσεων του συστήματός τους, σύμφωνα με τη Red Hat. Και οι χρήστες του Fedora Rawhide, της τρέχουσας έκδοσης ανάπτυξης αυτού που θα γίνει Fedora Linux 41, μπορεί να έχουν λάβει την έκδοση 5.6.1. Τα Fedora 40 και 41 δεν έχουν κυκλοφορήσει ακόμη επίσημα. Η έκδοση 40 αναμένεται να κυκλοφορήσει τον επόμενο μήνα.
Οι χρήστες άλλων διανομών Linux και OS θα πρέπει να ελέγξουν για να δουν ποια έκδοση της σουίτας xz έχουν εγκαταστήσει. Οι μολυσμένες εκδόσεις, 5.6.0 και 5.6.1, ήταν απελευθερώθηκε στις 24 Φεβρουαρίου και στις 9 Μαρτίου, αντίστοιχα, και ενδέχεται να μην έχει ενσωματωθεί σε πάρα πολλά άτομα.
Αυτός ο συμβιβασμός της εφοδιαστικής αλυσίδας μπορεί να έχει εντοπιστεί αρκετά νωρίς για να αποτραπεί η εκτεταμένη εκμετάλλευση και μπορεί να επηρεάσει κυρίως τις διανομές αιχμής που παρέλαβαν αμέσως τις πιο πρόσφατες εκδόσεις xz.
Debian ασταθές και Kali Linux έχουν υποδείξει ότι επηρεάζονται, όπως και το Fedora. όλοι οι χρήστες θα πρέπει να αναλάβουν δράση για τον εντοπισμό και την αφαίρεση τυχόν backdoored builds του xz.
“ΠΑΡΑΚΑΛΩ ΔΙΑΚΟΨΤΕ ΑΜΕΣΩΣ ΤΗ ΧΡΗΣΗ ΤΩΝ ΠΕΡΙΠΤΩΣΕΩΝ FEDORA RAWHIDE για εργασία ή προσωπική δραστηριότητα”, αναφέρει η θυγατρική της IBM συμβουλευτικός φώναξε από τις ταράτσες σήμερα. “Το Fedora Rawhide θα επαναφερθεί σε xz-5.4.x σύντομα και μόλις γίνει αυτό, οι παρουσίες του Fedora Rawhide μπορούν να αναπτυχθούν εκ νέου με ασφάλεια.”
Το Red Hat Enterprise Linux (RHEL) είναι δεν επηρεάζονται.
Ο κακόβουλος κώδικας στις εκδόσεις xz 5.6.0 και 5.6.1 έχει μπερδευτεί, λέει η Red Hat, και υπάρχει μόνο πλήρως στον πηγαίο κώδικα tarball. Τα τεχνουργήματα δεύτερου σταδίου στο αποθετήριο Git μετατρέπονται σε κακόβουλο κώδικα μέσω της μακροεντολής M4 στο αποθετήριο κατά τη διαδικασία δημιουργίας. Η προκύπτουσα δηλητηριασμένη βιβλιοθήκη xz χρησιμοποιείται άθελά της από λογισμικό, όπως το systemd του λειτουργικού συστήματος, μετά τη διανομή και την εγκατάσταση της βιβλιοθήκης. Το κακόβουλο λογισμικό φαίνεται να έχει σχεδιαστεί για να αλλάξει τη λειτουργία των δαιμόνων διακομιστή OpenSSH που χρησιμοποιούν τη βιβλιοθήκη μέσω του systemd.
“Η κακόβουλη έκδοση που προκύπτει παρεμβαίνει στον έλεγχο ταυτότητας στο sshd μέσω systemd”, εξηγεί η Red Hat. “Το SSH είναι ένα κοινώς χρησιμοποιούμενο πρωτόκολλο για απομακρυσμένη σύνδεση σε συστήματα και το sshd είναι η υπηρεσία που επιτρέπει την πρόσβαση.”
Αυτή η παρεμβολή ελέγχου ταυτότητας έχει τη δυνατότητα να επιτρέψει σε έναν παραπλανητικό να παραβιάσει τον έλεγχο ταυτότητας sshd και να αποκτήσει εξ αποστάσεως μη εξουσιοδοτημένη πρόσβαση σε ένα επηρεαζόμενο σύστημα. Συνοπτικά, το backdoor φαίνεται να λειτουργεί ως εξής: οι μηχανές Linux εγκαθιστούν την backdoored xz βιβλιοθήκη –συγκεκριμένα, το liblzma– και αυτή η εξάρτηση με τη σειρά της χρησιμοποιείται τελικά με κάποιο τρόπο από τον δαίμονα OpenSSH του υπολογιστή. Σε εκείνο το σημείο, η δηλητηριασμένη βιβλιοθήκη xz μπορεί να ανακατευτεί με τον δαίμονα και ενδεχομένως να επιτρέψει σε έναν μη εξουσιοδοτημένο παραβάτη να συνδεθεί εξ αποστάσεως.
Όπως το έθεσε η Red Hat:
ΕΝΑ Θέση στη λίστα αλληλογραφίας ασφαλείας του Openwall από τον Andres Freund, προγραμματιστή και υπεύθυνο της PostgreSQL, εξερευνά την ευπάθεια με περισσότερες λεπτομέρειες.
Η τεχνητή νοημοσύνη προκαλεί παραισθήσεις πακέτα λογισμικού και οι προγραμματιστές τα κατεβάζουν
“Η κερκόπορτα αρχικά παρεμποδίζει την εκτέλεση αντικαθιστώντας τους επιλύτες ifunc crc32_resolve(), crc64_resolve() με διαφορετικό κώδικα, ο οποίος καλεί _get_cpuid(), που εισάγεται στον κώδικα (που προηγουμένως θα ήταν απλώς στατικές ενσωματωμένες συναρτήσεις). Στο xz 5.6.1 η κερκόπορτα μπερδεύτηκε περαιτέρω, αφαιρώντας ονόματα συμβόλων», εξηγεί ο Freund, με την προειδοποίηση ότι δεν είναι ερευνητής ασφάλειας ή μηχανικός αντίστροφης λειτουργίας.
Ο Freund εικάζει ότι ο κώδικας «φαίνεται πιθανό να επιτρέπει κάποια μορφή πρόσβασης ή άλλη μορφή απομακρυσμένης εκτέλεσης κώδικα».
Το όνομα λογαριασμού που σχετίζεται με τις παραβατικές δεσμεύσεις, μαζί με άλλες λεπτομέρειες, όπως ο χρόνος που έγιναν αυτές οι δεσμεύσεις, έχει οδηγήσει σε κερδοσκοπία ότι ο συντάκτης του κακόβουλου κώδικα είναι ένας εξελιγμένος εισβολέας, πιθανώς συνδεδεμένος με μια υπηρεσία εθνικού κράτους.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) της κυβέρνησης των ΗΠΑ έχει ήδη εκδώσει μια συμβουλευτική εδώ. ®