CVE-2024-3094: бэкдор в популярной утилите XZ затрагивает множество популярных дистрибутивов Linux

Уязвимость CVE-2024-3094 в XZ Utils - популярной утилите сжатия формата XZ, включенной в большинство дистрибутивов Linux - может «позволить злоумышленнику нарушить аутентификацию sshd и получить удаленный несанкционированный доступ ко всей системе», предупреждает Red Hat.

CVE-2024-3094 и обход аутентификации OpenSSH

Причиной уязвимости на самом деле является вредоносный код, присутствующий в версиях 5.6.0 (выпущен в конце февраля) и 5.6.1 (выпущен 9 марта) библиотек xz, который был случайно обнаружен Андресом Фройндом, разработчиком и программистом PostgreSQL в Майкрософт.

«После наблюдения нескольких странных симптомов, связанных с liblzma (часть пакета xz) в установках Debian sid в течение последних недель (вход в систему с использованием ssh, отнимающий много ресурсов процессора, ошибки valgrind ), я нашел ответ: upstream-репозиторий xz и xz-tarball содержали бэкдор»

— поделился он в списке рассылки oss-security.

О CVE-2024-3094

По мнению Red Hat, вредоносное внедрение в уязвимые версии библиотек замаскировано и включено только в полном объеме в пакет загрузки.

«В дистрибутиве Git отсутствует макрос M4, запускающий сборку вредоносного кода. Артефакты второго этапа присутствуют в репозитории Git для внедрения во время сборки на случай присутствия вредоносного макроса M4»

— добавили они.

Полученная вредоносная сборка мешает аутентификации в sshd через systemd

Вредоносный сценарий в архивах запутан, как и файлы, содержащие основную часть эксплойта, так что это, скорее всего, не случайно.

«Учитывая активность в течение нескольких недель, можно сделать вывод, что коммиттер либо непосредственно замешан в этом, либо имела место довольно серьезная компрометация их системы. К сожалению, последнее выглядит менее вероятным