Red Hat, çoğu Linux dağıtımında bulunan XZ formatı sıkıştırma yardımcı programı XZ Utils'teki bir güvenlik açığının (CVE-2024-3094), “kötü niyetli bir aktörün sshd kimlik doğrulamasını kırmasına ve tüm sisteme uzaktan yetkisiz erişim sağlamasına olanak tanıyabileceği” konusunda uyarıyor.
Güvenlik açığının nedeni aslında, PostgreSQL geliştiricisi ve yazılım mühendisi Andres Freund tarafından yanlışlıkla bulunan xz kitaplıklarının 5.6.0 (Şubat ayı sonunda yayınlandı) ve 5.6.1 (9 Mart'ta yayınlandı) sürümlerinde bulunan kötü amaçlı koddur. Microsoft'ta.
“Son haftalarda Debian sid kurulumlarında liblzma (xz paketinin bir parçası) ile ilgili birkaç tuhaf belirti gözlemledikten sonra (ssh ile oturum açmanın çok fazla CPU alması, valgrind hataları) cevabı buldum: Yukarı akış xz deposu ve xz tarball'lara arka kapı açıldı” diye oss-güvenlik posta listesi aracılığıyla paylaştı.
CVE-2024-3094 Hakkında
Red Hat'e göre, kütüphanelerin savunmasız sürümlerindeki kötü niyetli enjeksiyonlar gizleniyor ve yalnızca indirme paketine tam olarak dahil ediliyor.
“Git dağıtımı, kötü amaçlı kodun oluşturulmasını tetikleyen M4 makrosundan yoksun. Kötü amaçlı M4 makrosunun mevcut olması durumunda, ikinci aşamadaki eserler derleme süresi boyunca enjeksiyon için Git deposunda mevcuttur” diye eklediler.
“Sonuç olarak ortaya çıkan kötü amaçlı yapı, systemd aracılığıyla sshd'deki kimlik doğrulamaya müdahale ediyor.”
Tarball'lardaki kötü amaçlı komut dosyalarının yanı sıra açıktan yararlanmanın büyük kısmını içeren dosyalar da gizlenmiştir, dolayısıyla bu muhtemelen bir tesadüf değildir.
“Birkaç haftayı aşan faaliyet göz önüne alındığında, taahhüt eden kişi ya doğrudan işin içindedir ya da sistemlerinde oldukça ciddi bir tehlike söz konusudur. Maalesef ikincisi, “düzeltmeler” hakkında çeşitli listelerde iletişim kurdukları göz önüne alındığında, daha az olası bir açıklama gibi görünüyor [for errors caused by the injected code in v5.6.0]Freund yorumladı
“Neyse ki xz 5.6.0 ve 5.6.1 henüz Linux dağıtımları tarafından geniş çapta entegre edilmedi ve bulundukları yerlerde çoğunlukla ön sürüm sürümlerde.”
Hangi dağıtımlar etkilendi?
Red Hat, savunmasız paketlerin Fedora 41 ve Fedora Rawhide'da bulunduğunu söyledi ve bu dağıtımların kullanıcılarını bunları kullanmayı derhal bırakmaya çağırdı.
“İş ortamında etkilenen bir dağıtım kullanıyorsanız sonraki adımlar için bilgi güvenliği ekibinizle iletişime geçmenizi öneririz” dediler ve Red Hat Enterprise Linux'un (RHEL) hiçbir sürümünün etkilenmediğini eklediler.
SUSE, openSUSE kullanıcıları için bir düzeltme yayınladı.
Debian, dağıtımın hiçbir kararlı sürümünün etkilenmediğini, ancak güvenliği ihlal edilmiş paketlerin Debian testinin, kararsız ve deneysel dağıtımların bir parçası olduğunu ve bunların kullanıcılarının xz-utils paketlerini güncellemesi gerektiğini söyledi.
Red Hat Ürün Güvenliği Başkan Yardımcısı Vincent Danen, Help Net Security'ye şunları söyledi: “xz kitaplıklarının en son sürümlerinde bulunan kötü amaçlı kod, yazılım tedarik zinciri kanallarını izleyen dikkatli ve deneyimli bir Linux güvenlik ekibine sahip olmanın ne kadar kritik olduğunu gösteriyor.” .
“Red Hat, CISA ve diğer Linux dağıtımlarıyla birlikte, bu potansiyel tehdidi daha geniş Linux topluluğu için önemli bir risk oluşturmadan önce tespit edebildi, değerlendirebildi ve giderilmesine yardımcı olabildi.”
CISA, geliştiricilere ve kullanıcılara, XZ Utils'in sürümünü ödünsüz bir sürüme (örneğin, XZ Utils 5.4.6 Stable) düşürmelerini ve herhangi bir kötü amaçlı etkinliği araştırıp olumlu bulguları kuruma bildirmelerini tavsiye etti.