SK-CERT Bezpečnostné varovanie V20240404-01

Softvérový vývojár odhalil zadné vrátka v knižnici lzma, ktorá slúži na kompresiu a je súčasťou balíka xz-utils. Táto knižnica je celosvetovo používaná v softvéri na archiváciu, prácu s multimédiami a môže sa vyskytovať v množstve softvéru tretích strán. Špecificky je tento kód vykonaný v procese prihlasovania pomocou ssh na hlavné linuxové distribúcie.
Škodlivý kód je prítomný vo verziách 5.6.0 a 5.6.1 a bol do zdrojového kódu knižnice uvedený v poobedňajších hodinách 23. februára 2024.
Škodlivý kód je prítomný v zdrojovom kóde knižnice ako takej, našťastie však nie je vždy aktívny. Do funkčnej verzie knižnice sa skompiluje iba po splnení série podmienok: operačný systém Linux na architektúre x86_64 (64-bit Intel), ak je použitý gcc kompilátor a gnu linker, aj to len ako súčasť tvorby balíka DEB alebo RPM. Škodlivá časť je špecificky prispôsobená na situáciu, kedy je knižnica LZMA včlenená do procesu OpenSSH. Po aktivácii vykoná sériu krokov, ktoré vyvrcholia doplnením škodlivej funkcionality do funkcie RSA_public_decrypt, čo umožní útočníkovi vykonať ľubovoľné príkazy bez prihlásenia a bez znalosti prihlasovacieho mena a hesla. Príkazy sú zasielané v šifrovanej podobe, takže sieťová detekcia nie je možná.
Zraniteľnosti bol pridelený identifikátor CVE-2024-3094 a dosahuje najvyššie možné CVSS skóre 10.0 (plná kompromitácia systému).

• Fedora 40 beta,
• Fedora 41,
• Fedora Rawhide,
• Debian unstable (SID),
• OpenSUSE Tumbleweed,
• OpenSUSE MicroOS,
• Kali Linux,
• Arch Linux VM a kontajnery.

• všetky zasiahnuté systémy čo najskôr aktualizujte. To sa týka predovšetkým operačného systému Linux. Je potvrdené, že balíky na iných procesorových architektúrach ako x86_64 a na iných operačných systémoch ako GNU/Linux neobsahujú škodlivý kód, je však odporúčané ich aktualizovať aby sa minimalizovalo riziko chýb pri detekcii zraniteľnosti.
• ak operačný systém neponúka aktualizáciu ktorá rieši tento problém, nainštalujte staršiu verziu balíka, 5.4.6. Táto verzia by nemala byť postihnutá.
• ak chcete overiť nainštalované verzie, kontrolujte balíky xz-utils, liblzma, liblzma5. Preverte, či sú v zraniteľnej verzii 5.6.0 alebo 5.6.1. Buďte si vedomí, že niektoré distribúcie robia vlastné číslovanie vezií balíkov (napr. Debian testing opravenú verziu označuje „5.6.1+really5.4.5-1“). Na zistenie verzie môžete použiť aj príkaz xz –version
• ak ste vývojárom aplikácie alebo produktu, ktorý používa knižnicu XZ a vydali ste aplikáciu so zraniteľnou verziou, vydajte novú verziu so zníženou verziou knižnice na 5.4.6.
• zraniteľnú verziu knižnice je možné overiť si aj skriptom, ktorý stiahnete na adrese https://www.openwall.com/lists/oss-security/2024/03/29/4/3 . Treba mať na zreteli, že skript nemusí postihovať všetky verzie obsahujúce škodlivý kód.
• ak máte možnosť prekompilovať SSH, môžte aplikovať jednoduchý patch dostupný na https://github.com/amlweems/xzbot/blob/main/openssh.patch, ktorý bude logovať prijaté príkazy vo formáte, aký používa útočník.
• Ak ste našli zraniteľnú verziu knižnice a zároveň vaše SSH bolo prístupné z verejného internetu, odporúčame zariadenie považovať za kompromitované. V odozve na incident odporúčame tieto kroky:
  • získať obraz pamäti a disku servera na forenzné skúmanie,
  • preinštalovať zariadenie odznova,
  • všetky údaje, heslá, šifrovacie kľúče prítomné na zariadení považujte za kompromitované. TLS certifikáty dajte revokovať a vystavte nové,
  • kontaktujte tiež Národné centrum kybernetickej bezpečnosti na adrese [email protected].