Η Red Hat εξέδωσε μια κρίσιμη προειδοποίηση ασφαλείας σχετικά με κακόβουλο κώδικα που ανακαλύφθηκε σε πρόσφατες εκδόσεις των εργαλείων και βιβλιοθηκών συμπίεσης “xz”.
Παρακολούθηση ως CVE-2024-3094, αυτός ο εξαιρετικά εξελιγμένος συμβιβασμός της εφοδιαστικής αλυσίδας θα μπορούσε να επιτρέψει στους παράγοντες απειλών να παρακάμψουν τον έλεγχο ταυτότητας και να αποκτήσουν μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στα επηρεαζόμενα συστήματα Linux.
Το βοηθητικό πρόγραμμα xz είναι μια βασική μορφή συμπίεσης δεδομένων που υπάρχει σχεδόν σε κάθε εμπορική και κοινοτική διανομή Linux.
Χρησιμοποιείται κυρίως για τη συμπίεση μεγάλων αρχείων σε μικρότερα μεγέθη για αποτελεσματική μεταφορά. Οι ερευνητές ασφαλείας ανακάλυψαν ότι ο κακόβουλος κώδικας εισήχθη αθόρυβα στις εκδόσεις 5.6.0 και 5.6.1 του βοηθητικού προγράμματος xz.
Οι επιτιθέμενοι χρησιμοποίησαν εξελιγμένες τεχνικές συσκότισης για να κρύψουν τα ίχνη τους. Ο κακόβουλος κώδικας δεν είναι σαφώς ορατός στον κύριο αποθετήριο Git.
Αντίθετα, ενεργοποιείται από μια ασαφή μακροεντολή M4 που περιλαμβάνεται μόνο στο πλήρες πακέτο λήψης διανομής. Κατά τη διαδικασία δημιουργίας λογισμικού, αυτή η κρυφή μακροεντολή μεταγλωττίζει τεχνουργήματα δεύτερου σταδίου που αλλάζουν τη λειτουργικότητα της βιβλιοθήκης.
Μόλις εγκατασταθεί σε ένα σύστημα, το παραβιασμένο build παρεμβαίνει άμεσα στις διαδικασίες ελέγχου ταυτότητας στο sshd μέσω systemd.
Το Secure Shell (SSH) είναι το τυπικό πρωτόκολλο για απομακρυσμένη διαχείριση συστήματος και αυτή η παρεμβολή επιτρέπει σε κακόβουλους παράγοντες να παραβιάζουν τους ελέγχους ελέγχου ταυτότητας, αποκτώντας τελικά πλήρη, μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση στο μηχάνημα.
Επηρεασμένες διανομές Linux
Η Red Hat επιβεβαίωσε ότι δεν υπάρχουν εκδόσεις του Το Red Hat Enterprise Linux (RHEL) επηρεάζεται από αυτήν την ευπάθεια. Μέσα στο οικοσύστημα Red Hat, τα παραβιασμένα πακέτα απομονώνονται στο Fedora Rawhide και στο Fedora Linux 40 beta.
Οι χρήστες του Fedora Rawhide μπορεί να έχουν εγκαταστήσει είτε την έκδοση 5.6.0 είτε την 5.6.1. Ταυτόχρονα, τα περιβάλλοντα beta του Fedora 40 εκτέθηκαν στην έκδοση 5.6.0 μέσω πρόσφατων κύκλων ενημέρωσης.
Ενώ η Red Hat σημειώνει ότι η έγχυση κακόβουλου κώδικα δεν φαίνεται να έχει εκτελεστεί με επιτυχία στις εκδόσεις Fedora 40, η παρουσία των παραβιασμένων βιβλιοθηκών εξακολουθεί να αποτελεί σημαντικό κίνδυνο.
Πέρα από το Red Hat, άλλες κοινοτικές διανομές αντιμετωπίζουν επίσης αυτήν την απειλή. Τα στοιχεία δείχνουν ότι ο κώδικας που εισήχθη με επιτυχία χτίστηκε σε Debian unstable (Sid) και σε αρκετές διανομές openSUSE.
Οι διαχειριστές συστήματος πρέπει να λάβουν άμεσα μέτρα για την ασφάλεια του περιβάλλοντος τους. Η Red Hat συμβουλεύει θερμά τους χρήστες να σταματήσουν εντελώς όλη η χρήση των παρουσιών του Fedora Rawhide τόσο για εργασιακές όσο και για προσωπικές δραστηριότητες έως ότου το σύστημα επανέλθει πλήρως στην ασφαλή έκδοση xz-5.4.x.
Για τους χρήστες του Fedora Linux 40 beta, έχει δημοσιευτεί μια επείγουσα ενημέρωση για την αναγκαστική υποβάθμιση σε 5.4. x κατασκευή. Οι χρήστες του openSUSE και του Debian θα πρέπει να συμβουλεύονται τους ειδικούς συντηρητές διανομής τους για άμεσες διαδικασίες υποβάθμισης.
Οι ομάδες ασφαλείας πρέπει να ελέγχουν ενεργά την υποδομή τους για τις εκδόσεις xz 5.6.0 και 5.6.1 και να τις αντικαθιστούν χωρίς καθυστέρηση για να αποτρέψουν πιθανές παραβιάσεις του δικτύου.
