RedHat в пятницу выпустила "срочное предупреждение системы безопасности", предупреждающее о том, что две версии популярной библиотеки сжатия данных под названием XZ Utils (ранее LZMA Utils) были дополнены вредоносным кодом, предназначенным для обеспечения несанкционированного удаленного доступа.
Компрометация цепочки поставок программного обеспечения, отслеживаемая как CVE-2024-3094, имеет оценку CVSS 10.0, что указывает на максимальную серьезность. Это влияет на версии XZ Utils 5.6.0 (выпущена 24 февраля) и 5.6.1 (выпущена 9 марта).
"Посредством серии сложных обфускаций процесс сборки liblzma извлекает готовый объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для модификации определенных функций в коде liblzma", - говорится в сообщении дочерней компании IBM.
"В результате получается модифицированная библиотека liblzma, которая может использоваться любым программным обеспечением, связанным с этой библиотекой, перехватывая и изменяя взаимодействие данных с этой библиотекой".
В частности, вредоносный код, встроенный в код, разработан для вмешательства в процесс демона sshd для SSH (Secure Shell) через программный пакет systemd и потенциально позволяет субъекту угрозы нарушить аутентификацию sshd и получить несанкционированный доступ к системе удаленно "при подходящих обстоятельствах".
Исследователю безопасности Microsoft Андресу Фройнду приписывают обнаружение проблемы и сообщение о ней в пятницу. Утверждается, что сильно запутанный вредоносный код был внедрен в течение серии из четырех коммитов в проект Tukaani на GitHub пользователем по имени JiaT75.
"Учитывая активность в течение нескольких недель, коммиттер либо непосредственно вовлечен, либо произошла довольно серьезная компрометация их системы", - сказал Фройнд. "К сожалению, последнее выглядит как менее вероятное объяснение, учитывая, что в различных списках сообщалось об "исправлениях"."
С тех пор GitHub, принадлежащий Microsoft, отключил репозиторий XZ Utils, поддерживаемый проектом Tukaani, "из-за нарушения условий предоставления услуг GitHub". В настоящее время сообщений об активной эксплуатации в дикой природе нет.
Данные показывают, что пакеты присутствуют только в Fedora 41 и Fedora Rawhide и не влияют на Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux и SUSE Linux Enterprise и Leap.
Из соображений предосторожности пользователям Fedora Linux 40 было рекомендовано перейти на сборку 5.4. Ниже приведены некоторые другие дистрибутивы Linux, пострадавшие от атаки по цепочке поставок -
Компрометация цепочки поставок программного обеспечения, отслеживаемая как CVE-2024-3094, имеет оценку CVSS 10.0, что указывает на максимальную серьезность. Это влияет на версии XZ Utils 5.6.0 (выпущена 24 февраля) и 5.6.1 (выпущена 9 марта).
"Посредством серии сложных обфускаций процесс сборки liblzma извлекает готовый объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для модификации определенных функций в коде liblzma", - говорится в сообщении дочерней компании IBM.
"В результате получается модифицированная библиотека liblzma, которая может использоваться любым программным обеспечением, связанным с этой библиотекой, перехватывая и изменяя взаимодействие данных с этой библиотекой".
В частности, вредоносный код, встроенный в код, разработан для вмешательства в процесс демона sshd для SSH (Secure Shell) через программный пакет systemd и потенциально позволяет субъекту угрозы нарушить аутентификацию sshd и получить несанкционированный доступ к системе удаленно "при подходящих обстоятельствах".
Исследователю безопасности Microsoft Андресу Фройнду приписывают обнаружение проблемы и сообщение о ней в пятницу. Утверждается, что сильно запутанный вредоносный код был внедрен в течение серии из четырех коммитов в проект Tukaani на GitHub пользователем по имени JiaT75.
"Учитывая активность в течение нескольких недель, коммиттер либо непосредственно вовлечен, либо произошла довольно серьезная компрометация их системы", - сказал Фройнд. "К сожалению, последнее выглядит как менее вероятное объяснение, учитывая, что в различных списках сообщалось об "исправлениях"."
С тех пор GitHub, принадлежащий Microsoft, отключил репозиторий XZ Utils, поддерживаемый проектом Tukaani, "из-за нарушения условий предоставления услуг GitHub". В настоящее время сообщений об активной эксплуатации в дикой природе нет.
Данные показывают, что пакеты присутствуют только в Fedora 41 и Fedora Rawhide и не влияют на Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux и SUSE Linux Enterprise и Leap.
Из соображений предосторожности пользователям Fedora Linux 40 было рекомендовано перейти на сборку 5.4. Ниже приведены некоторые другие дистрибутивы Linux, пострадавшие от атаки по цепочке поставок -
- Kali Linux (с 26 по 29 марта)
- openSUSE Tumbleweed и openSUSE MicroOS (с 7 по 28 марта)
- Тестируемые, нестабильные и экспериментальные версии Debian (от 5.5.1alpha-0.1 до 5.6.1-1)
