Une analyse récente a révélé que le code malveillant intégré dans la bibliothèque open source largement utilisée XZ Utils (présent dans plusieurs distributions Linux) peut permettre exécution de code distant. Le scénario d'attaque est basé sur la vulnérabilité critique CVE-2024-3094.
CVE-2024-3094 expliqué
Ce compromis, identifié comme CVE-2024-3094 avec un score CVSS de 10.0, a été mis en lumière par l'ingénieur Microsoft et développeur PostgreSQL Andres Freund. Freund a remarqué une utilisation inhabituellement élevée du processeur par les processus sshd lors de l'analyse comparative du système., ce qui a conduit à la découverte d'une porte dérobée dans l'utilitaire de compression de données XZ Utils. Cette porte dérobée permet aux attaquants distants de contourner l'authentification Secure Shell et d'obtenir un accès complet aux systèmes concernés..
Le code malveillant de la porte dérobée a été intentionnellement introduit par l'un des responsables du projet., Jia Tan (également connu sous le nom de Jia Cheong Tan ou JiaT75), dans une attaque planifiée s'étalant sur plusieurs années. La GitHub le compte associé à cette activité a été créé dans 2021, mais l'identité de l'acteur(s) reste inconnu. Selon les rapports, l'acteur menaçant a gagné en crédibilité au sein du projet XZ pendant près de deux ans avant de se voir confier des responsabilités de mainteneur.
L'attaquant a utilisé des comptes sockpuppet tels que Jigar Kumar et Dennis Ens pour soumettre des demandes de fonctionnalités et signaler des problèmes., faire pression sur le mainteneur d'origine, Lasse Collin du projet Tukaani, pour ajouter un nouveau co-responsable au référentiel. Jia Tan a introduit des modifications dans XZ Utils dans 2023, menant à la sortie de la version 5.6.0 en février 2024, qui comprenait une porte dérobée sophistiquée.
Collin a reconnu la violation et a confirmé que les archives tar de la version compromise avaient été créées et signées par Jia Tan., qui avait accès au référentiel GitHub désormais désactivé. Cette attaque contre la chaîne d'approvisionnement démontre une sophistication considérable et une planification pluriannuelle, probablement révélateur d’une activité parrainée par l’État.
Une analyse plus approfondie de la porte dérobée a révélé que des attaquants distants spécifiques peuvent envoyer des charges utiles arbitraires via un certificat SSH., leur permettant d'exécuter des commandes et de prendre le contrôle de la machine victime. Cette porte dérobée présente un risque important pour les machines dotées de packages XZ Utils vulnérables exposées à Internet..
La découverte accidentelle de la porte dérobée par Freund met en évidence la gravité de cette attaque contre la chaîne d'approvisionnement, qui aurait pu conduire à un incident de sécurité majeur s'il était intégré dans les versions stables des distributions Linux. Cet incident souligne l'importance d'adopter des outils et des processus pour identifier les fonctionnalités de falsification et malveillantes dans les logiciels open source et commerciaux..