RedHat Cuma günü, XZ Utils (daha önce LZMA Utils) olarak adlandırılan popüler bir veri sıkıştırma kitaplığının iki sürümünün, yetkisiz uzaktan erişime izin verecek şekilde tasarlanmış kötü amaçlı kodla arka kapıya kapatıldığına dair bir “acil güvenlik uyarısı” uyarısı yayınladı.
Yazılım tedarik zinciri uzlaşması şu şekilde izlenir: CVE-2024-3094, maksimum ciddiyeti gösteren 10.0 CVSS puanına sahiptir. XZ Utils'in 5.6.0 (24 Şubat'ta yayınlandı) ve 5.6.1 (9 Mart'ta yayınlandı) sürümlerini etkiliyor.
IBM yan kuruluşu bir danışma belgesinde, “Bir dizi karmaşık karmaşıklaştırma yoluyla, liblzma oluşturma işlemi, kaynak kodunda mevcut olan gizlenmiş bir test dosyasından önceden oluşturulmuş bir nesne dosyasını çıkarır ve bu daha sonra liblzma kodundaki belirli işlevleri değiştirmek için kullanılır.” dedi.
“Bu, bu kütüphaneye bağlı herhangi bir yazılım tarafından kullanılabilen, bu kütüphaneyle veri etkileşimini yakalayan ve değiştiren, değiştirilmiş bir liblzma kütüphanesiyle sonuçlanır.”
Spesifik olarak, kodun içine yerleştirilen hain kod, systemd yazılım paketi aracılığıyla SSH (Güvenli Kabuk) için sshd arka plan süreci sürecine müdahale etmek ve potansiyel olarak bir tehdit aktörünün sshd kimlik doğrulamasını kırmasına ve sisteme uzaktan yetkisiz erişim elde etmesine olanak sağlamak üzere tasarlanmıştır. doğru koşullar.”
Microsoft güvenlik araştırmacısı Andres Freund, Cuma günü sorunu keşfedip bildirdiği için itibar kazandı. Oldukça karmaşık hale getirilmiş kötü amaçlı kodun, JiaT75 adlı bir kullanıcı tarafından GitHub'daki Tukaani Projesi'ne yapılan dört dizi işlemle tanıtıldığı söyleniyor.
Freund, “Birkaç hafta boyunca süren faaliyet göz önüne alındığında, taahhüt eden kişi ya doğrudan işin içindedir ya da sistemlerinde oldukça ciddi bir uzlaşma söz konusudur” dedi. “Maalesef ikincisi, 'düzeltmeler' hakkında çeşitli listelerde iletişim kurdukları göz önüne alındığında, daha az olası bir açıklama gibi görünüyor.”
Microsoft'un sahibi olduğu GitHub, o zamandan beri Tukaani Projesi tarafından tutulan XZ Utils deposunu “GitHub'ın hizmet koşullarının ihlali nedeniyle” devre dışı bıraktı. Şu anda vahşi doğada aktif sömürüye ilişkin herhangi bir rapor bulunmamaktadır.
Kanıtlar, paketlerin yalnızca Fedora 41 ve Fedora Rawhide'da bulunduğunu ve Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux ve SUSE Linux Enterprise ve Leap'i etkilemediğini gösteriyor.
Fedora Linux 40 kullanıcılarına çok dikkatli bir şekilde 5.4 sürümüne geçmeleri önerildi. Tedarik zinciri saldırısından etkilenen diğer Linux dağıtımlarından bazıları aşağıdadır:
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA), kullanıcıları XZ Utils'in sürümünü tavizsiz bir sürüme (örneğin, XZ Utils 5.4.6 Stable) düşürmeye teşvik eden kendi uyarısını yayınlamasına yol açtı.