CVE-2024-3094 ⇐ Васина Википедия

[wiki_de]

29 марта 2024 года разработчик программного обеспечения Андрес Фройнд объявил, что нашел бэкдор в утилите Linux XZ Utils|xz; Он находится в библиотеке XZ Utils|liblzma, затронуты версии 5.6.0 и 5.6.1. компонент, выпущенный в феврале 2024 года.

Утилита xz входит в состав большинства дистрибутивов Linux. Бэкдор влияет только на системы, основанные на Debian или RPM Package Manager|RPM и использующие архитектуру X64|x86-64. На момент обнаружения уязвимые версии программного обеспечения еще не были широко доступны

Бэкдор позволяет злоумышленнику получить root-права в соответствующей системе, если у него есть определенный ключ Ed44. Это позволяет удаленно выполнять код. Проблема получила высший балл по системе CVSS — 10,0.
== Фон ==
Друг Андре, сотрудник Microsoft и разработчик PostgreSQL, сообщил о бэкдоре, который он обнаружил при измерении производительности в Debian|Debian Sid.
Как только скомпрометированная версия интегрируется в систему, она меняет поведение демона OpenSSH SSH: Sysdemd используется для предоставления злоумышленнику root-прав в системе. Согласно Redhat, это позволяет удаленному хакеру обойти SSH-аутентификацию и удаленно получить несанкционированный доступ к системе.

Дальнейшее расследование показало, что кампания по бэкдору пакета XZ Utils была запланирована давно, и на ее завершение ушло около трех лет. Пользователь по имени Цзя Тан под псевдонимом JiaT75 завоевал доверие в рамках проекта. Спустя некоторое время и немного sockpuppetry (Netzkultur)|Sockpuppetry стало возможным подписать версии 5.6.0, в которых появился бэкдор, и последующую версию 5.6.1 в качестве со-сопровождающих. В версии 5.6.1 добавлен дополнительный код, который можно найти при тщательном тестировании. Другие персонажи, которые, вероятно, были замешаны, известны под псевдонимами «Джигар Кумар», «krygorin4545» и «misoeater91». Предполагается, что все имена, а также имя предполагаемого автора Ханса Йенсена являются псевдонимами. Соответствующие люди не существуют вне проекта или не имеют к проекту никакого отношения.
Популярность бэкдора обусловлена ​​сложностью его реализации. Хакеры обладали обширными знаниями в области оперативной безопасности; это было необходимо, чтобы завоевать доверие проекта.

''Дэйв Эйтель, американский исследователь безопасности, отметил, что модель поведения соответствует Cozy Bear|APT29, хакеру, связанному с российской секретной службой Слущба внешней разведки|СВР.
== Механизм действия ==
Вредоносный код содержится в версиях 5.6.0 и 5.61 XZ Utils. Эксплойт становится активным только при включении определенного патча на SSH-сервере. При определенных условиях это может привести к тому, что злоумышленник обойдет аутентификацию и получит несанкционированный удаленный доступ к системе. Механизм состоит из двух сжатых тестовых файлов, содержащих двоичный вредоносный код. Они доступны в репозитории git, но остаются неактивными, пока не будут распакованы и внедрены в программу. В коде используется механизм IFUNC библиотеки GNU C | glibc для замены существующей функции OpenSSH RSA_public_decrypt версией с вредоносным кодом. OpenSSH обычно не использует liblzma, но обычный Pach приводит к использованию Systemd|libsystemd, который загружает lzma.

== Ответ ==

=== Исправление ===
Агентство кибербезопасности и безопасности инфраструктуры США, отвечающее за кибербезопасность и угрозы, опубликовало рекомендацию: оно рекомендует откатить затронутые системы до более ранней версии, не подверженной уязвимости.
=== Дальнейшее обсуждение ===
Алекс Стамос, ученый-компьютерщик, отметил, что это, возможно, был «самый большой и эффективный бэкдор», установленный в программном обеспечении. Если бы он не был обнаружен, он дал бы программистам главный ключ ко всем компьютерам в мире, использующим SSH.

Категория:Уязвимости