Добавить в корзинуПозвонить
Найти в Дзене
HOSTKEY - все о хостинге, ПО, серверах, GPU, AI и ИТ
92 подписчика

Бэкдор, внедренный в XZ Utils, попал в популярные дистрибутивы Linux

181
2 мин
Вредоносный код (бэкдор) был внедрен в версии 5.6.0 и 5.6.1 набора инструментов сжатия с открытым исходным кодом XZ Utils. Что еще хуже, троянские утилиты успели попасть в несколько популярных сборок Linux, выпущенных в марте этого года, так что этот инцидент можно рассматривать как атаку по цепочке поставок. Этой уязвимости присвоен номер CVE-2024-3094. Чем же так опасен этот вредоносный код? Изначально различные исследователи утверждали, что этот бэкдор позволяет злоумышленникам обойти аутентификацию sshd (серверного процесса OpenSSH) и удаленно получить несанкционированный доступ к операционной системе. Однако, судя по последней информации, эту уязвимость следует классифицировать не как «обход аутентификации», а как «удаленное выполнение кода» (RCE). Бэкдор перехватывает функцию RSA_public_decrypt, проверяет подпись хоста с помощью фиксированного ключа Ed448 и, в случае успешной проверки, выполняет вредоносный код, переданный хостом через функцию system(), не оставляя следов в журна
Оглавление

Вредоносный код (бэкдор) был внедрен в версии 5.6.0 и 5.6.1 набора инструментов сжатия с открытым исходным кодом XZ Utils. Что еще хуже, троянские утилиты успели попасть в несколько популярных сборок Linux, выпущенных в марте этого года, так что этот инцидент можно рассматривать как атаку по цепочке поставок. Этой уязвимости присвоен номер CVE-2024-3094.

Чем же так опасен этот вредоносный код?

Изначально различные исследователи утверждали, что этот бэкдор позволяет злоумышленникам обойти аутентификацию sshd (серверного процесса OpenSSH) и удаленно получить несанкционированный доступ к операционной системе. Однако, судя по последней информации, эту уязвимость следует классифицировать не как «обход аутентификации», а как «удаленное выполнение кода» (RCE). Бэкдор перехватывает функцию RSA_public_decrypt, проверяет подпись хоста с помощью фиксированного ключа Ed448 и, в случае успешной проверки, выполняет вредоносный код, переданный хостом через функцию system(), не оставляя следов в журналах sshd.

Какие дистрибутивы Linux содержат вредоносные утилиты, а какие безопасны?

Известно, что XZ Utils версий 5.6.0 и 5.6.1 были включены в мартовские сборки следующих дистрибутивов Linux:

  • Kali Linux, но, согласно официальному блогу, только в те, которые были доступны в период с 26 по 29 марта (в блоге также содержатся инструкции по проверке уязвимых версий утилит)
  • openSUSE Tumbleweed и openSUSE MicroOS, доступные с 7 по 28 марта
  • Fedora 41, Fedora Rawhide и Fedora Linux 40 beta
  • Debian (только тестовые, нестабильные и экспериментальные дистрибутивы)
  • Gentoo (без возможности активации бэкдора)
  • LibreELEC
  • Alpine edge
  • Solus
  • CRUX
  • Cygwin
  • MSYS2 mingw
  • HP-UX
  • Homebrew
  • KaOS
  • NixOS unstable
  • OpenIndiana
  • Parabola
  • PCLinuxOS
  • OpenMandriva (cooker и rolling)
  • pkgsrc (current)
  • Slackware (current)
  • Manjaro
  • Void Linux.

Согласно официальной информации, Red Hat Enterprise Linux (RHEL) и собираемые на их основе community-версии, SUSE Linux Enterprise, openSUSE Leap и Debian Stable не уязвимы. Уязвимости нет во всех версиях Ubuntu, включая последнюю версию Ubuntu 23.10 и в TrueNAS.

Единственный дистрибутив из предлагаемых нами к установке на серверах HOSTKEY, который требует внимания — это Arch Linux. Однако на сайте archlinux.org утверждается, что из-за особенностей реализации данный вектор атаки не будет не в нем работать.

Поэтому мы настоятельно рекомендуем обновить системы с Arch Linux на ваших серверах и не забывать о своевременном обновлении пакетной базы других дистрибутивов Linux.

-2

ПОДПИШИТЕСЬ НА НАС В ТЕЛЕГРАМ ИЛИ В ВКОНТАКТЕ.

2
Операционная система Linux
9688 интересуются