En nylig analyse har afsløret, at den ondsindede kode, der er indlejret i det meget udbredte open source-bibliotek XZ Utils (findes i flere Linux distros) kan aktivere fjernkørsel af programkode. Angrebsscenariet er baseret på den kritiske CVE-2024-3094 sårbarhed.
CVE-2024-3094 Forklaret
Dette kompromis, identificeret som CVE-2024-3094 med en CVSS-score på 10.0, blev bragt frem i lyset af Microsofts ingeniør og PostgreSQL-udvikler Andres Freund. Freund bemærkede usædvanligt højt CPU-forbrug af sshd-processer under systembenchmarking, hvilket førte til opdagelsen af en bagdør i XZ Utils datakomprimeringsværktøj. Denne bagdør gør det muligt for fjernangribere at omgå sikker shell-autentificering og opnå fuldstændig adgang til berørte systemer.
Den ondsindede bagdørskode blev med vilje introduceret af en af projektets vedligeholdere, Jia Tan (også kendt som Jia Cheong Tan eller JiaT75), i et planlagt angreb, der strækker sig over flere år. Den GitHub konto knyttet til denne aktivitet blev oprettet i 2021, men skuespillerens identitet(s) forbliver ukendt. Ifølge rapporter, trusselsaktøren opnåede troværdighed inden for XZ-projektet i løbet af næsten to år, før han fik tildelt vedligeholdelsesansvar.
Angriberen brugte sockpuppet-konti som Jigar Kumar og Dennis Ens til at indsende funktionsanmodninger og rapportere problemer, at presse den oprindelige vedligeholder, Lasse Collin fra Tukaani-projektet, at tilføje en ny co-vedligeholder til depotet. Jia Tan introducerede ændringer til XZ Utils i 2023, fører til udgivelse af version 5.6.0 i februar 2024, som omfattede en sofistikeret bagdør.
Collin erkendte bruddet og bekræftede, at de kompromitterede udgivelses-tarballs blev oprettet og underskrevet af Jia Tan, som havde adgang til det nu deaktiverede GitHub-lager. Dette forsyningskædeangreb demonstrerer betydelig sofistikering og flerårig planlægning, sandsynligvis tegn på statsstøttet aktivitet.
En dybere analyse af bagdøren afslørede, at specifikke fjernangribere kan sende vilkårlige nyttelaster gennem et SSH-certifikat, giver dem mulighed for at udføre kommandoer og få kontrol over offermaskinen. Denne bagdør udgør en betydelig risiko for maskiner med sårbare XZ Utils-pakker udsat for internettet.
Freunds utilsigtede opdagelse af bagdøren fremhæver alvoren af dette forsyningskædeangreb, hvilket kunne have ført til en større sikkerhedshændelse, hvis den blev integreret i stabile udgivelser af Linux-distributioner. Denne hændelse understreger vigtigheden af at indføre værktøjer og processer til at identificere manipulation og ondsindede funktioner i både open source og kommerciel software.