CVE-2024-3094: вредоносный код в Linux-дистрибутивах | Блог Касперского

Уязвимость CVE-2024-3094. Злоумышленники встроили бэкдор в утилиты для компрессии XZ Utils версий 5.6.0 и 5.6.1.

Неизвестные злоумышленники встроили вредоносный код в набор утилит для компрессии с открытым исходным кодом XZ Utils версий 5.6.0 и 5.6.1. Что еще хуже, утилиты с бэкдором успели попасть в несколько популярных мартовских сборок Linux, так что данную закладку можно расценивать как атаку на цепочку поставок. Уявзимости был присвоен номер CVE-2024-3094.

Чем опасна вредоносная закладка?

Изначально различные исследователи утверждали, что бэкдор позволяет злоумышленникам обойти аутентификацию sshd, серверного процесса OpenSSH, и удаленно получить несанкционированный доступ к операционной системе. Однако судя по последней информации данную уязвимость следует относить не к классу «обход аутентификации», а к классу «удаленное выполнение кода» (RCE). Бэкдор перехватывает функцию RSA_public_decrypt, проверяет подпись хоста с использованием фиксированного ключа Ed448 и, в случае успешной проверки, через функцию system() выполняет вредоносный код, переданный хостом, не оставляя следов в логах sshd.

Какие сборки Linux содержат вредоносные утилиты, а какие безопасны?

Точно известно, что XZ Utils версий 5.6.0 и 5.6.1 попали в мартовские сборки следующих дистрибутивов Linux:

• Kali Linux, но по информации официального блога, только доступные между 26 и 29 марта (в блоге также содержатся инструкции по проверке на наличие уязвимой версии утилит);
• openSUSE Tumbleweed и openSUSE MicroOS, доступные с 7 по 28 марта;
• Fedora 41, Fedora Rawhide и Fedora Linux 40 beta;
• Debian (тестовые, нестабильные и экспериментальные версии);
• Arch Linux – образы контейнеров, доступные начиная с 29 февраля и заканчивая 29 марта. Впрочем, на сайте archlinux.org говорится, что из-за особенностей имплементации данный вектор атаки в Arch Linux работать не будет, однако все-таки настоятельно рекомендуют обновить систему.

Не уязвимы, по официальной информации, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap, Debian Stable. Остальные дистрибутивы имеет смысл самостоятельно проверять на наличие в них троянизированных версий XZ Utils.

Откуда вредоносный код взялся в утилитах?

По всей видимости произошла стандартная история с передачей контроля над репозиторием на GitHub. Человек, изначально поддерживавший проект XZ Libs передал контроль аккаунту, который уже несколько лет контрибьютил в ряд репозиториев, связанных со сжатием данных. А тот, в какой-то момент, добавил в код проекта бэкдор.

Как оставаться в безопасности?

Агентство по кибербезопасности и защите инфраструктуры США рекомендует всем обновившим затронутые операционные систем в марте незамедлительно перейти к использованию более ранней версии XZ Utils (например, к версии 5.4.6). А также заняться поиском вредоносной активности.

Если у вас был установлен дистрибутив с уязвимой версией, имеет смысл сменить учетные данные, которые потенциально могли быть добыты злоумышленниками из системы.

Выявить факт наличия уязвимости можно при помощи Yara-правила для CVE-2024-3094.

01.04.2024