Η Red Hat προειδοποιεί ότι δύο εκδόσεις του δημοφιλούς data compression library XZ Utils (προηγουμένως LZMA Utils) έχουν μολυνθεί (Backdoor) με κακόβουλο κώδικα, που επιτρέπει μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση και επηρεάζει αρκετές διανομές Linux.
Πρόκειται για μια παραβίαση software supply chain, που παρακολουθείται ως CVE-2024-3094 και έχει βαθμολογία CVSS 10/10. Επηρεάζει τις εκδόσεις XZ Utils 5.6.0 (κυκλοφόρησε στις 24 Φεβρουαρίου) και 5.6.1 (κυκλοφόρησε στις 9 Μαρτίου).
“Μέσω μιας σειράς πολύπλοκων obfuscations, το liblzma build process εξάγει ένα προκατασκευασμένο object file από ένα κρυμμένο test file, που υπάρχει στον source code. Αυτό, στη συνέχεια, χρησιμοποιείται για την τροποποίηση συγκεκριμένων λειτουργιών στον κώδικα liblzma“, ανέφερε η θυγατρική της IBM.
Ως αποτέλεσμα, κυκλοφορεί μια τροποποιημένη βιβλιοθήκη liblzma που μπορεί να χρησιμοποιηθεί από οποιοδήποτε λογισμικό που συνδέεται με αυτήν τη βιβλιοθήκη, παρεμποδίζοντας και τροποποιώντας την αλληλεπίδραση δεδομένων με αυτήν τη βιβλιοθήκη.
Δείτε επίσης: Το σφάλμα WallEscape στο Linux wall κλέβει κωδικούς πρόσβασης
Συγκεκριμένα, ο κακόβουλος κώδικας έχει σχεδιαστεί για να παρεμβαίνει στο sshd daemon process για SSH (Secure Shell) μέσω του systemd software suite. Αυτό μπορεί να επιτρέπει σε έναν πιθανό απατεώνα να σπάσει τον έλεγχο ταυτότητας sshd και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα, εξ αποστάσεως, “υπό τις κατάλληλες συνθήκες”.
Ο τελικός στόχος είναι η εισαγωγή κώδικα στον OpenSSH server (SSHD) που εκτελείται στο μηχάνημα-θύμα και η δυνατότητα αποστολής arbitrary payloads μέσω SSH, από απομακρυσμένους επιτιθέμενους που διαθέτουν συγκεκριμένο ιδιωτικό κλειδί. Τα payloads θα εκτελεστούν πριν από το βήμα ελέγχου ταυτότητας, ουσιαστικά παραβιάζοντας ολόκληρο το μηχάνημα του θύματος.
Ο ερευνητής ασφαλείας της Microsoft, Andres Freund, ανακάλυψε και ανέφερε το ζήτημα την Παρασκευή. Ο κακόβουλος κώδικας λέγεται ότι εισήχθη σε μια σειρά τεσσάρων commits στο Tukaani Project στο GitHub, από έναν χρήστη που ονομάζεται Jia Tan (JiaT75).
Το GitHub έκτοτε έχει απενεργοποιήσει το XZ Utils repository που διατηρεί το Tukaani Project “λόγω παραβίασης των όρων παροχής υπηρεσιών του GitHub”.
Τα στοιχεία δείχνουν ότι τα πακέτα υπάρχουν μόνο στο Fedora 41 και στο Fedora Rawhide και δεν επηρεάζουν διανομές όπως το Alpine Linux, το Amazon Linux, το Debian Stable, το Gentoo Linux, το Linux Mint, το Red Hat Enterprise Linux (RHEL), το SUSE Linux Enterprise and Leap και Ubuntu.
Συνιστάται στους χρήστες του Fedora Linux 40 να κάνουν υποβάθμιση σε έκδοση 5.4.
Δείτε επίσης: DinodasRAT: Νέα Linux έκδοση του backdoor
Μερικές από τις διανομές Linux που επηρεάστηκαν από αυτή την επίθεση είναι:
- Arch Linux (installation medium 2024.03.01, virtual machine images 20240301.218094 και 20240315.221711, container images που δημιουργήθηκαν ανάμεσα και περιλαμβάνουν 2024-02-24 και 2024-03-28)
- Kali Linux (μεταξύ 26 και 29 Μαρτίου)
- openSUSE Tumbleweed και openSUSE MicroOS (μεταξύ 7 και 28 Μαρτίου)
- Debian testing, unstable και experimental versions (από 5.5.1alpha-0.1 έως 5.6.1-1)
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προτρέπει τους χρήστες να υποβαθμίσουν το XZ Utils σε μια έκδοση που δεν επηρεάζεται (π.χ. XZ Utils 5.4.6 Stable).
Προστασία
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: Το Linux malware AcidPour στοχεύει την Ουκρανία
Η εκπαίδευση είναι επίσης κρίσιμη για την αποφυγή μολύνσεων. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, οι οργανισμοί πρέπει να εφαρμόζουν την αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com