Kenkėjiškas kodas Linux platinimuose

Prie XZ Utils paslaugų rinkinio buvo pridėtos užpakalinės durys, kurios atsidūrė populiariose Linux versijose.

Nežinomi užpuolikai įterpė kenkėjišką kodą į atvirojo kodo XZ Utils glaudinimo įrankius, 5.6.0 ir 5.6.1 versijas. Dar blogiau, užpakalinių durų komunalinėms paslaugoms pavyko rasti kelią į keletą populiarių kovo mėnesio „Linux“ versijų, todėl tai gali būti vertinama kaip ataka tiekimo grandinėje. Pažeidžiamumui buvo suteiktas numeris CVE-2024-3094.

Kodėl kenksminga žymė yra pavojinga??

Iš pradžių įvairūs tyrinėtojai teigė, kad užpakalinės durys leido užpuolikams apeiti autentifikavimą sshd, OpenSSH serverio procesą ir nuotoliniu būdu gauti neteisėtą prieigą prie operacinės sistemos. Tačiau sprendžiant iš naujausia informacija šis pažeidžiamumas neturėtų būti klasifikuojamas kaip „autentifikavimo apėjimas“, o kaip „nuotolinis kodo vykdymas“.» (R.C.E.). Užpakalinių durų užgrobimo funkcija RSA_public_decrypt, patikrina pagrindinio kompiuterio parašą naudodamas Ed448 fiksuotą raktą ir, jei patikrintas sėkmingai, vykdo kenkėjišką kodą, kurį šeimininkas perdavė per funkciją system(), nepalikdamas jokių pėdsakų sshd žurnaluose.

Kuriuose „Linux“ versijose yra kenkėjiškų paslaugų ir kurios yra saugios?

Tikrai žinoma, kad XZ Utils 5.6.0 ir 5.6.1 versijos buvo įtrauktos į šių Linux platinimų kovo mėnesio versijas:

• Kali Linux, bet pagal informaciją oficialus dienoraštis, galimas tik kovo 26–29 d. (dienoraštyje taip pat pateikiamos instrukcijos, kaip patikrinti, ar nėra pažeidžiamų paslaugų versijų);
• openSUSE Tumbleweed ir openSUSE MicroOS, galima nuo kovo 7 iki 28 d;
• Fedora 41, Fedora Rawhide ir Fedora Linux 40 beta versija;
• Debian (bandomoji, nestabili ir eksperimentinė versija);
• „Arch Linux“ – talpyklos vaizdai bus pasiekiami nuo vasario 29 d. iki kovo 29 d. Tačiau, adresu archlinux.org Teigiama, kad dėl diegimo ypatybių šis atakos vektorius neveiks Arch Linux, bet vis tiek primygtinai rekomenduojama atnaujinti sistemą.

Remiantis oficialia informacija, „Red Hat Enterprise Linux“ (RHEL), „SUSE Linux Enterprise“, „openSUSE Leap“, „Debian Stable“ nėra pažeidžiami. Tikslinga patiems patikrinti kitus platinimus, ar nėra Trojanizuotų XZ Utils versijų.

Iš kur komunalinėse paslaugose atsirado kenkėjiškas kodas??

Matyt, taip atsitiko standartinė istorija perdavus saugyklos valdymą „GitHub“. „XZ Libs“ projektą iš pradžių palaikęs asmuo kontrolę perdavė paskyrai, kuri jau keletą metų prisideda prie daugybės saugyklų, susijusių su duomenų glaudinimu. Ir tam tikru momentu jis pridėjo užpakalines duris prie projekto kodo.

Epidemija, kurios niekada nebuvo

Pasak Igorio Kuznecovo, „Kaspersky Lab“ (GReAT) pasaulinio tyrimų ir grėsmių analizės centro vadovo, CVE-2024-3094 išnaudojimas gali tapti masiškiausia ataka prieš Linux ekosistemą per visą jos istoriją. Faktas yra tas, kad jis skirtas SSH serveriams – pagrindiniam visų Linux serverių nuotolinio valdymo įrankiui internete. Jei jis atsidurtų stabiliuose platinimuose, tikriausiai pamatytume didžiulius serverių įsilaužimus. Bet, laimei, CVE-2024-3094 buvo pastebėtas bandomuosiuose ir slenkamuose platinimuose, kur naudojami naujausi paketai. Tai reiškia, kad dauguma „Linux“ vartotojų liko saugūs. Kol kas neužfiksavome jokių realių CVE-2024-3094 išnaudojimo atvejų..

Kaip išlikti saugiems?

JAV kibernetinio saugumo ir infrastruktūros apsaugos agentūra rekomenduoja Kiekvienas, kuris kovo mėnesį atnaujino paveiktas operacines sistemas, turėtų nedelsdamas atnaujinti versiją į ankstesnę XZ Utils versiją (pvz., į versiją 5.4.6). Taip pat ieškokite kenkėjiškos veiklos.

Jei įdiegėte platinimą su pažeidžiama versija, prasminga pakeisti savo kredencialus, kuriuos užpuolikai gali gauti iš sistemos.

Galite nustatyti pažeidžiamumo buvimą naudodami Yara taisyklės CVE-2024-3094.

Jei įtariate, kad užpuolikai gavo prieigą prie jūsų įmonės infrastruktūros, rekomenduojame naudotis paslauga „Kaspersky“ kompromiso įvertinimas nustatyti kompromiso požymius.