En nylig analyse har afsløret, at den ondsindede kode, der er indlejret i det meget udbredte open source-bibliotek XZ Utils (findes i flere Linux distros) kan aktivere fjernkørsel af programkode. Angrebsscenariet er baseret på den kritiske CVE-2024-3094 sårbarhed.
CVE-2024-3094 Forklaret
Dette kompromis, identificeret som CVE-2024-3094 med en CVSS-score på 10.0, blev bragt frem i lyset af Microsofts ingeniør og PostgreSQL-udvikler Andres Freund. Freund bemærkede usædvanligt højt CPU-forbrug af sshd-processer under systembenchmarking, hvilket førte til opdagelsen af en bagdør i XZ Utils datakomprimeringsværktøj. Denne bagdør gør det muligt for fjernangribere at omgå sikker shell-autentificering og opnå fuldstændig adgang til berørte systemer.
Den ondsindede bagdørskode blev med vilje introduceret af en af projektets vedligeholdere, Jia Tan (også kendt som Jia Cheong Tan eller JiaT75), i et planlagt angreb, der strækker sig over flere år. Den GitHub konto knyttet til denne aktivitet blev oprettet i 2021, men skuespillerens identitet(s) forbliver ukendt. Ifølge rapporter, trusselsaktøren opnåede troværdighed inden for XZ-projektet i løbet af næsten to år, før han fik tildelt vedligeholdelsesansvar.
Angriberen brugte sockpuppet-konti som Jigar Kumar og Dennis Ens til at indsende funktionsanmodninger og rapportere problemer, at presse den oprindelige vedligeholder, Lasse Collin fra Tukaani-projektet, at tilføje en ny co-vedligeholder til depotet. Jia Tan introducerede ændringer til XZ Utils i 2023, fører til udgivelse af version 5.6.0 i februar 2024, som omfattede en sofistikeret bagdør.
Collin erkendte bruddet og bekræftede, at de kompromitterede udgivelses-tarballs blev oprettet og underskrevet af Jia Tan, som havde adgang til det nu deaktiverede GitHub-lager. Dette forsyningskædeangreb demonstrerer betydelig sofistikering og flerårig planlægning, sandsynligvis tegn på statsstøttet aktivitet.
En dybere analyse af bagdøren afslørede, at specifikke fjernangribere kan sende vilkårlige nyttelaster gennem et SSH-certifikat, giver dem mulighed for at udføre kommandoer og få kontrol over offermaskinen. Denne bagdør udgør en betydelig risiko for maskiner med sårbare XZ Utils-pakker udsat for internettet.
Freunds utilsigtede opdagelse af bagdøren fremhæver alvoren af dette forsyningskædeangreb, hvilket kunne have ført til en større sikkerhedshændelse, hvis den blev integreret i stabile udgivelser af Linux-distributioner. Denne hændelse understreger vigtigheden af at indføre værktøjer og processer til at identificere manipulation og ondsindede funktioner i både open source og kommerciel software.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: