XZ Utils kütüphanesinde (Linux dağıtımlarındaki XZ dosyalarını sıkıştırmak ve açmak için kullanılan bir komut satırı aracı) CVE-2024-3094 olarak işaretlenen kritik bir güvenlik açığı keşfedildi. Ciddi bir arka kapı olarak sınıflandırılan bu açık, Linux dağıtımlarını etkileyerek SSH kimlik doğrulamasını atlayarak yetkisiz erişime izin verme potansiyeli taşıyor.
Güvenlik açığı Linux topluluğunu rahatsız ediyor ve veri sıkıştırma için XZ Utils'e güvenen sistemler için önemli bir risk oluşturuyor. XZ Utils'in 5.6.0 ve 5.6.1 sürümlerine gömülü kod, veri sıkıştırmanın temel bileşeni olan liblzma kitaplığını ustaca değiştirir.
Bu manipülasyon, SSH kimlik doğrulamasını atlatarak uzaktan kod yürütmenin (RCE) kapısını açar.
Kritik XZ Araçları Arka Kapısı (CVE-2024-3094 Güvenlik Açığı)
Bu arka kapının keşfi, Microsoft mühendisi Andres Freund tarafından gözlemlenen anormal SSH oturum açma davranışlarından kaynaklandı. Freund, deneme yanılma yoluyla düzensizliklerin izini XZ oluşturma sürecine kadar sürdü ve tespit edilmekten kaçınmak için hazırlanmış bir dizi karartmayı ortaya çıkardı.
“Yukarı akış xz deposu ve xz tarball'ları arka kapıyla kapatıldı. İlk başta bunun debian paketinin bir uzlaşması olduğunu düşünmüştüm, ancak bunun yukarı yönde olduğu ortaya çıktı”, dedi Freund.
Sızıntının arkasındaki yaratıcının olduğu iddia edilen @JiaT75, oss-fuzz projesine katkıda bulunarak potansiyel olarak arka kapının tespit yeteneklerini gizlemeyi amaçladı. Bu sofistike hamle, analize karmaşıklık katmanları ekleyerek mevcut güvenlik önlemlerini alt etmeyi amaçlıyordu.
CVE-2024-3094'ün teknik analizi, sistemlerden yararlanmaya yönelik çok yönlü bir yaklaşımı ortaya koyuyor. XZ oluşturma işlemi sırasında enjekte edilen karmaşık bir komut dosyası, seçici olarak belirli Linux dağıtımlarını ve oluşturma koşullarını hedefler. Bu seçim kriteri, hedeflenmeyen ortamlarda tespit edilmekten kaçınarak arka kapının gizli bir şekilde konuşlandırılmasını sağlar.
CVE-2024-3094 Güvenlik Açığına Karşı Azaltma
Ayrıca, kullanım için çalışma zamanı gereklilikleri, çevresel değişkenler ve ikili yollar gibi ek nüanslar ekleyerek tespit ve azaltma çabalarını karmaşık hale getirir. Bu zorluklara rağmen, 30 Mart itibarıyla hiçbir aktif istismar vakası rapor edilmedi ve bu da önleyici eylem için bir pencere sunuyor.
Etkilenen Linux dağıtımları arasında Fedora 40/41, Rawhide, Arch Linux, Debian Sid, Alpine Edge, openSUSE Tumbleweed ve openSUSE MicroOS yer alıyor. Öneriler, kullanıcıları XZ Utils 5.4.6 Stable gibi güvenli sürümlere dönmeye teşvik ederken, potansiyel güvenlik açıklarını tespit etmek için kapsamlı değerlendirmeler de gerçekleştiriyor.
Bulut ortamları, açığa çıkmasına rağmen sınırlı bir güvenlik açığı sergiliyor ve örneklerin yalnızca küçük bir yüzdesi etkilenen sürümleri çalıştırıyor. Bununla birlikte, olası suiistimallerin önlenmesi için proaktif önlemlerin alınması tavsiye edilir.
Üstelik CVE-2024-3094, Linux sistemleri için kritik bir tehdit oluşturuyor ve riskleri azaltmak ve hassas verileri korumak için acil eylem gerektiriyor. Kullanıcılar, CISA ve MITRE gibi kuruluşların tavsiyelerini takip ederek ve etkilenen sürümlerin sürümünü düşürerek Linux sistemlerini bu arka kapıya karşı koruyabilirler.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.