1. Хакер JiaT75 (Jia Tan) внедрился в сообщество разработчиков опенсорс пакета XZ, получив доверие главных разработчиков и полный доступ к репозиторию. Инженер из Microsoft Andres Freund вычислил хакера и заметил, что обработка sshd стала занимать на пол секунды дольше.
2. В утилите для сжатия XZ был обнаружен скрытый бэкдор, который создает угрозу для цепочки поставок, позволяя злоумышленникам получить доступ к службам SSH. Бэкдор был обнаружен в пакете утилиты, а вредоносные файлы m4 были добавлены в архивы XZ версии 5.6.0, выпущенной 24 февраля, содержащие инструкции automake для модификации библиотеки liblzma.
3. Изменения в liblzma могут привести к компрометации sshd из-за использования libsystemd многими дистрибутивами Linux. Файлы m4 были обфусцированы, чтобы скрыть их вредоносную функцию. Пользователь, добавивший файлы, был активным участником проекта XZ в течение двух лет.
4. Агентство CISA выпустило предупреждение об уязвимости CVE-2024-3094 с максимальным баллом CVSS 10. Разработчики и пользователи были предупреждены об необходимости откатиться к безопасной версии XZ, например, к версии 5.4.
5. Red Hat, Fedora и Debian выпустили предупреждения о безопасности и рекомендации по обновлению версий. Дистрибутив Kali Linux также подвергся воздействию уязвимости с 26 по 29 марта.
6. Фройнд предполагает, что разработчик либо был причастен к злонамеренной деятельности, либо его система была скомпрометирована. Он также отмечает, что изменения в версиях XZ 5.0 и 5.1, предназначенные для устранения ошибок, могли быть вызваны встроенным бэкдором.
7. Обнаружена критическая уязвимость в Fedora Linux 40, 41 и Rawhide, связанная с XZ Utils версий 5.6.0 и 5.1, которая может дать несанкционированный удалённый доступ через SSH. В исходных архивах XZ Utils 5.0 обнаружены лишние файлы m4 с инструкциями по сборке программного обеспечения с версией GNU Automake.
8. Библиотека liblzma используется программным обеспечением, таким как sshd, и может быть использована злоумышленниками для получения удаленного доступа к уязвимой системе. Уязвимость касается только 64-битных систем (x86_64).
9. Пользователи дистрибутивов openSUSE также затронуты проблемой с XZ Utils, и SUSE опубликовала процедуру отката для установленных уязвимых пакетов. Red Hat призывает пользователей Fedora Linux 40 beta, Fedora Linux 41 и Fedora Rawhide прекратить использование систем для бизнеса или личных целей из-за уязвимости.
10. Андрес Фройнд подробно объясняет влияние уязвимости на систему, протестировав ее на Debian Sid (Unstable). Offensive Security предупреждает пользователей Kali Linux о необходимости обновления систем для применения последних исправлений.
11. Вегард Носсум написал скрипт для проверки системы на уязвимость двоичного файла ssh.
Хакер JiaT75, известный как Jia Tan, недавно совершил дерзкую атаку, проникнув в сообщество разработчиков опенсорс пакета сжатия XZ. Захватив доверие главных разработчиков, ему удалось получить полный доступ к репозиторию. Однако, благодаря инженеру из Microsoft по имени Andres Freund, действия хакера были выявлены. Freund заметил, что обработка sshd стала занимать на пол секунды дольше, что послужило сигналом к детальному анализу.Thank you for reading this post, don't forget to subscribe!
В результате проведенного исследования был обнаружен скрытый бэкдор в утилите для сжатия XZ, создающий серьезную угрозу для цепочки поставок. Эта уязвимость позволяет злоумышленникам получить доступ к службам SSH, что может нанести значительный ущерб безопасности данных и личной информации пользователей. Инженер программист из Microsoft, Андрес Фроунд, активно вовлеченный в выявление проблемы, подчеркнул важность оперативного реагирования на подобные угрозы.
Последствия уязвимости в XZ Utils версии 5.6.0, выпущенной 24 февраля, оказались крайне серьезными. Файлы m4, содержащие инструкции automake для модификации библиотеки liblzma, были загружены с вредоносными намерениями. Эти изменения могут привести к компрометации sshd из-за использования libsystemd многими дистрибутивами Linux. Необходимость обновления до безопасной версии XZ, например, версии 5.4, стала неотложной для разработчиков и пользователей.
Уязвимость, обозначенная как CVE-2024-3094 и оцененная максимальным баллом CVSS 10 агентством CISA, вызвала широкий резонанс в сообществе IT-специалистов. Компании Red Hat, Fedora, Debian и другие разработчики операционных систем активно работают над предоставлением обновлений и рекомендаций пользователям. Для пользователей дистрибутивов, таких как Fedora Linux, Kali Linux и openSUSE, вопрос безопасности стал приоритетным, и необходимость обновления систем стала неотложной.
Эпизод с уязвимостью в утилите XZ является наглядным примером того, как виртуальные атаки могут проникнуть даже в самые надежные системы. Важно помнить о необходимости регулярного обновления программного обеспечения и внимательного контроля за цифровой безопасностью. Как отмечает Андрес Фройнд, “безопасность должна быть на первом месте для всех участников цифрового сообщества”.