В пакетах XZ для Linux обнаружен опасный бэкдор

Критическая уязвимость в инструменте сжатия XZ для Linux, известном как CVE-2024-3094, добавил вредоносный код в версии 5.6.0 и 5.6.1 библиотеки XZ Utils. Это оказалось в широко используемых дистрибутивах Linux, включая Red Hat и Debian.

В архивы (сжатый архивный файл, используемый, среди прочего, для Linux) для версий 5.6.0 и 5.6.1 инструмента включен необычный файл .m4 с инструкциями автозапуска. Это может привести к атаке на цепочку поставок, когда пакет liblzma создается и используется различными инструментами, включая sshd. Красная Шапка В пятницу компания разослала предупреждение, как и производители других дистрибутивов Linux.

Отказ от конкретных дистрибутивов

Этот бэкдор был установлен либо администратором XZ, либо кем-то, кто скомпрометировал систему администратора. Причина неясна, но, похоже, целью было скомпрометировать определенные дистрибутивы, поскольку бэкдоры применялись только к пакетам DEB или RPM для архитектуры x86-64, созданным с использованием gcc и компоновщика gnu. GitHub учитывает Создатели объектов Она была отстранена. Бэкдор обнаружил исследователь Microsoft Андреас Фройндкоторый забил тревогу.

Сообщений о том, что эти сборки были включены в производственные сборки основных дистрибутивов Linux, не известно, но как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали по крайней мере одну из скомпрометированных сборок, особенно при тестировании Fedora Rawhide и Debian, которые Также затронуты нестабильные и бета-дистрибутивы.Стабильная версия Arch Linux, но этот дистрибутив не используется в производственных системах.

Аналитик охранной компании Analygence заявил, что тот факт, что бэкдор не был обнаружен в производственных системах, является причиной того, что он «фактически не влияет ни на кого в реальном мире». Арс Техника. «Но это только потому, что оно было обнаружено раньше времени из-за халатности злоумышленника. Если бы оно не было обнаружено, это было бы катастрофой для мира».

Предназначен для обхода аутентификации

Вредоносные версии намеренно мешают аутентификации, выполняемой SSH — протоколом, обычно используемым для подключения к удаленным системам. SSH обеспечивает надежное шифрование, гарантируя, что только авторизованные стороны подключатся к удаленной системе.

Бэкдор предназначен для того, чтобы позволить злоумышленнику обойти аутентификацию и получить несанкционированный доступ ко всей системе. Бэкдор работает путем ввода кода на ключевом этапе процесса входа в систему.

XZ Utils доступен для большинства, если не для всех, дистрибутивов Linux, но не все включают его по умолчанию. Вредоносные изменения были внесены JiaT75, одним из основных разработчиков XZ Utils, многолетним вкладом в проект.

Читайте также: Массовая атака на платформу Ray подвергает риску безопасность ИИ