В петък Red Hat публикува „спешно предупреждение за сигурност“, в което се предупреждава, че две версии на популярна библиотека за компресиране на данни, наречена XZ Utils (преди това LZMA Utils), са били защитени със зловреден код, предназначен да позволи неоторизиран отдалечен достъп.
Компрометирането на веригата за доставка на софтуер, проследено като CVE-2024-3094, има CVSS оценка 10,0, което показва максимална сериозност. Той засяга версиите XZ Utils 5.6.0 (издадена на 24 февруари) и 5.6.1 (издадена на 9 март).
„Чрез поредица от сложни обфускации процесът на изграждане на liblzma извлича предварително изграден файл с обекти от съществуващ в изходния код маскиран тестови файл, който след това се използва за модифициране на специфични функции в кода на liblzma“, се казва в съобщението на дъщерното дружество на IBM.
„В резултат на това се получава модифицирана библиотека liblzma, която може да се използва от всеки софтуер, свързан с тази библиотека, като се прихващат и модифицират данните, взаимодействащи с тази библиотека.“
По-конкретно, зловредният код е предназначен да се намеси в процеса на демона sshd за SSH (Secure Shell) чрез софтуерния пакет systemd и потенциално да даде възможност на заплахата да пробие автентикацията на sshd и да получи неоторизиран достъп до системата от разстояние „при подходящи обстоятелства“.
На изследователя по сигурността на Microsoft Андрес Фройнд се приписва откриването и докладването на проблема в петък. Твърди се, че силно замаскираният зловреден код е бил въведен в серия от четири коммита в проекта Tukaani в GitHub от потребител на име Jia Tan (JiaT75).
„Като се има предвид активността в продължение на няколко седмици, коммитаторът или е пряко замесен, или е имало доста сериозно компрометиране на системата му“, каза Фройнд. „За съжаление последното изглежда като по-малко вероятното обяснение, като се има предвид, че те са комуникирали в различни списъци за „поправките“.“
Оттогава GitHub, собственост на Microsoft, е деактивирал хранилището XZ Utils, поддържано от проекта Tukaani, „поради нарушаване на условията за ползване на GitHub“. Понастоящем няма съобщения за активна експлоатация в дивата природа.
Доказателствата показват, че пакетите присъстват само във Fedora 41 и Fedora Rawhide и не оказват влияние върху Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux и SUSE Linux Enterprise и Leap.
От голяма доза предпазливост на потребителите на Fedora Linux 40 е препоръчано да преминат към компилация 5.4.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.