Zadné vrátka v ssh serveri, spôsobené kompresnou knižnicou XZ/LZMA – aktualizujte ihneď!

Aktualizácia 3.4.2024 (modrou farbou a kurzívou): doplnené zraniteľné Linux distribúcie, upresnené škodlivé správanie knižnice, odporúčania.

Softvérový vývojár odhalil zadné vrátka v knižnici lzma, ktorá slúži na kompresiu a je súčasťou balíka xz-utils. Táto knižnica je celosvetovo používaná v softvéri na archiváciu, prácu s multimédiami a môže sa vyskytovať v množstve softvéru tretích strán. Špecificky je tento kód vykonaný v procese prihlasovania pomocou ssh na hlavné linuxové distribúcie.

Škodlivý kód je prítomný vo verziách 5.6.0 a 5.6.1 a bol do zdrojového kódu knižnice uvedený v poobedňajších hodinách 23. februára 2024.

Škodlivý kód je prítomný v zdrojovom kóde knižnice ako takej,  našťastie však nie je vždy aktívny. Do funkčnej verzie knižnice sa skompiluje iba po splnení série podmienok: operačný systém Linux na architektúre x86_64 (64-bit Intel), ak je použitý gcc kompilátor a gnu linker, aj to len ako súčasť tvorby balíka DEB alebo RPM. Škodlivá časť je špecificky prispôsobená na situáciu, kedy je knižnica LZMA včlenená do procesu OpenSSH. Po aktivácii vykoná sériu krokov, ktoré vyvrcholia doplnením škodlivej funkcionality do funkcie RSA_public_decrypt, čo má pravdepodobne umožniť útočníkovi, aby sa mohol prihlásiť na zasiahnutý systém umožní útočníkovi vykonať ľubovoľné príkazy bez prihlásenia a bez znalosti prihlasovacieho mena a hesla. Príkazy sú zasielané v šifrovanej podobe, takže sieťová detekcia nie je možná.

Zraniteľnosti bol pridelený identifikátor CVE-2024-3094 a dosahuje najvyššie možné CVSS skóre 10.0 (plná kompromitácia systému).

Zasiahnuté verzie

Keďže sa jedná o veľmi nové verzie knižníc, zasiahnuté sú prevažne nové verzie aplikácií, „nestabilné“, „testovacie“ či „bleeding edge“ distribúcie OS Linux a tie servery, ktoré sú aktualizované zo zdrojového kódu. V prípade Linux distribúcií sa jedná napríklad o

• Fedora 40 beta,
• Fedora 41,
• Fedora Rawhide,
• Debian unstable (SID),
• OpenSUSE Tumbleweed,
• OpenSUSE MicroOS,
• Kali Linux,
• Arch Linux VM a kontajnery,

Naopak stabilné, LTS verzie distribúcií väčšinou nie sú zasiahnuté.

Odporúčania

• všetky zasiahnuté systémy čo najskôr aktualizujte. To sa týka predovšetkým operačného systému Linux. Pre istotu však aktualizujte aj homebrew  balíky na MacOS, ak využívate tento balíčkový systém, hoci v súčasnosti nie je indikácia, že by aj tieto knižnice boli kompromitované. Je potvrdené, že balíky na iných procesorových architektúrach ako x86_64 a na iných operačných systémoch ako GNU/Linux neobsahujú škodlivý kód, je však odporúčané ich aktualizovať aby sa minimalizovalo riziko chýb pri detekcii zraniteľnosti.
• ak operačný systém neponúka aktualizáciu ktorá rieši tento problém, nainštalujte staršiu verziu balíka, 5.4.6. Táto verzia by nemala byť postihnutá.
• ak chcete overiť nainštalované verzie, kontrolujte balíky xz-utils, liblzma, liblzma5. Preverte, či sú v zraniteľnej verzii 5.6.0 alebo 5.6.1. Buďte si vedomí, že niektoré distribúcie robia vlastné číslovanie vezií balíkov (napr. Debian testing opravenú verziu označuje „5.6.1+really5.4.5-1“). Na zistenie verzie môžete použiť aj príkaz xz –version
• ak ste vývojárom aplikácie alebo produktu, ktorý používa knižnicu XZ a vydali ste aplikáciu so zraniteľnou verziou, vydajte novú verziu so zníženou verziou knižnice na 5.4.6.
• zraniteľnú verziu knižnice je možné overiť si aj skriptom, ktorý stiahnete na adrese https://www.openwall.com/lists/oss-security/2024/03/29/4/3 . Treba mať na zreteli, že skript nemusí postihovať všetky verzie obsahujúce škodlivý kód.
• ak máte možnosť prekompilovať SSH, môžte aplikovať jednoduchý patch dostupný na https://github.com/amlweems/xzbot/blob/main/openssh.patch, ktorý bude logovať prijaté príkazy vo formáte, aký používa útočník.
• ak ste našli zraniteľnú verziu knižnice a zároveň vaše SSH bolo prístupné z verejného internetu, odporúčame zariadenie považovať za kompromitované. V odozve na incident odporúčame tieto kroky
  • získať obraz pamäti a disku servera na forenzné skúmanie,
  • preinštalovať zariadenie odznova,
  • všetky údaje, heslá, šifrovacie kľúče prítomné na zariadení považujte za kompromitované. TLS certifikáty dajte revokovať a vystavte nové,
  • kontaktujte tiež Národné centrum kybernetickej bezpečnosti na adrese [email protected].

Zdroje

• https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27#faq-on-the-xz-utils-backdoor
• https://www.openwall.com/lists/oss-security/2024/03/29/4
• https://github.com/amlweems/xzbot/

« Späť na zoznam