Astăzi, Red Hat a avertizat utilizatorii să înceteze imediat utilizarea sistemelor care rulează versiunile de dezvoltare Fedora din cauza unui backdoor găsit în cele mai recente instrumente și biblioteci de compresie a datelor XZ Utils.
„VĂ RUGĂM SĂ ÎNCETAȚI IMEDIAT UTILIZAREA ORICĂROR INSTANȚE FEDORA 41 SAU FEDORA RAWHIDE pentru activități de lucru sau personale”, a avertizat Red Hat vineri.
„Nicio versiune a Red Hat Enterprise Linux (RHEL) nu este afectată. Avem rapoarte și dovezi ale injectărilor reușite în versiunile xz 5.6.x construite pentru Debian unstable (Sid).”
Dezvoltatorii Debian au emis, de asemenea, un avertisment de securitate avertizând utilizatorii despre problema. Avertismentul spune că nicio versiune stabilă Debian nu folosește pachetele compromise și că XZ a fost revertat la codul 5.4.5 upstream pe distribuțiile Debian testing, unstable și experimental afectate.
Inginerul de software Microsoft, Andres Freund, a descoperit problema de securitate în timp ce analiza o problemă de performanță Postgres pe un server Linux care rulează Debian Sid (versiunea de dezvoltare continuă a distribuției Debian).
El a spus că nu a descoperit exact scopul codului malitios adăugat în versiunile XZ 5.6.0 și 5.6.1 în ultima lună.
„Nu am analizat încă precis ce se verifică în codul injectat, pentru a permite accesul neautorizat”, a spus Freund. „Deoarece acest lucru rulează într-un context pre-autentificare, pare probabil să permită o formă de acces sau altfel de executare de cod la distanță.”
Red Hat urmărește acum această vulnerabilitate de securitate a lanțului de aprovizionare ca CVE-2024-3094, i-a atribuit un scor de severitate critică de 10/10 și a revenit la versiunile 5.4.x ale XZ în Fedora 40 beta.
Codul malitios este obfuscat și poate fi găsit doar în pachetul complet de descărcare, nu în distribuția Git, care lipsește macro-ul M4, care declanșează procesul de construire a backdoor-ului.
Dacă macro-ul malitios este prezent, artefactele de al doilea stadiu găsite în depozitul Git sunt injectate în timpul construirii.
„Construcția malitioasă rezultată interferează cu autentificarea în sshd prin systemd. SSH este un protocol folosit în mod obișnuit pentru conectarea la distanță la sisteme, iar sshd este serviciul care permite accesul”, a spus Red Hat.
„În circumstanțele potrivite, această interferență ar putea potențial permite unui actor malitios să spargă autentificarea sshd și să obțină acces neautorizat la întregul sistem la distanță.”
CISA a publicat, de asemenea, un avertisment astăzi avertizând dezvoltatorii și utilizatorii să facă downgrade la o versiune neafectată (adică 5.4.6 Stable) și să caute orice activitate malitioasă sau suspicioasă pe sistemele lor.
Leave a Reply