Вредоносный код в дистрибутивах Linux

В набор утилит XZ Utils был добавлен бэкдор, который попал в популярные сборки Linux.

CVE-2024-3094: вредоносный код в Linux-дистрибутивах

Неизвестные злоумышленники встроили вредоносный код в набор утилит для компрессии с открытым исходным кодом XZ Utils версий 5.6.0 и 5.6.1. Что еще хуже, утилиты с бэкдором успели попасть в несколько популярных мартовских сборок Linux, так что данную закладку можно расценивать как атаку на цепочку поставок. Уявзимости был присвоен номер CVE-2024-3094.

Чем опасна вредоносная закладка?

Изначально различные исследователи утверждали, что бэкдор позволяет злоумышленникам обойти аутентификацию sshd, серверного процесса OpenSSH, и удаленно получить несанкционированный доступ к операционной системе. Однако судя по последней информации данную уязвимость следует относить не к классу «обход аутентификации», а к классу «удаленное выполнение кода» (RCE). Бэкдор перехватывает функцию RSA_public_decrypt, проверяет подпись хоста с использованием фиксированного ключа Ed448 и, в случае успешной проверки, через функцию system() выполняет вредоносный код, переданный хостом, не оставляя следов в логах sshd.

Какие сборки Linux содержат вредоносные утилиты, а какие безопасны?

Точно известно, что XZ Utils версий 5.6.0 и 5.6.1 попали в мартовские сборки следующих дистрибутивов Linux:

  • Kali Linux, но по информации официального блога, только доступные между 26 и 29 марта (в блоге также содержатся инструкции по проверке на наличие уязвимой версии утилит);
  • openSUSE Tumbleweed и openSUSE MicroOS, доступные с 7 по 28 марта;
  • Fedora 41, Fedora Rawhide и Fedora Linux 40 beta;
  • Debian (тестовые, нестабильные и экспериментальные версии);
  • Arch Linux – образы контейнеров, доступные начиная с 29 февраля и заканчивая 29 марта. Впрочем, на сайте archlinux.org говорится, что из-за особенностей имплементации данный вектор атаки в Arch Linux работать не будет, однако все-таки настоятельно рекомендуют обновить систему.

Не уязвимы, по официальной информации, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap, Debian Stable. Остальные дистрибутивы имеет смысл самостоятельно проверять на наличие в них троянизированных версий XZ Utils.

Откуда вредоносный код взялся в утилитах?

По всей видимости произошла стандартная история с передачей контроля над репозиторием на GitHub. Человек, изначально поддерживавший проект XZ Libs передал контроль аккаунту, который уже несколько лет контрибьютил в ряд репозиториев, связанных со сжатием данных. А тот, в какой-то момент, добавил в код проекта бэкдор.

Эпидемия, которой не случилось

По мнению Игоря Кузнецова, руководителя Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT), эксплуатация CVE-2024-3094 потенциально могла стать самой массовой атакой на экосистему Linux за всю историю ее существования. Дело в том, что она нацелена на SSH-серверы — основной инструмент удаленного управления всеми Linux-серверами в Интернете. Если бы она оказалась в стабильных дистрибутивах, то мы бы, вероятно, наблюдали массовые взломы серверов. Но, к счастью, CVE-2024-3094 была замечена еще в тестовых и rolling-дистрибутивах, где используются самые свежие пакеты. То есть большинство пользователей Linux остались в безопасности. Так что пока никаких реальных случаев эксплуатации CVE-2024-3094 мы не зафиксировали.

Как оставаться в безопасности?

Агентство по кибербезопасности и защите инфраструктуры США рекомендует всем обновившим затронутые операционные систем в марте незамедлительно перейти к использованию более ранней версии XZ Utils (например, к версии 5.4.6). А также заняться поиском вредоносной активности.

Если у вас был установлен дистрибутив с уязвимой версией, имеет смысл сменить учетные данные, которые потенциально могли быть добыты злоумышленниками из системы.

Выявить факт наличия уязвимости можно при помощи Yara-правила для CVE-2024-3094.

Если у вас есть подозрения, что злоумышленники получили доступ к инфраструктуре вашей компании, то мы рекомендуем воспользоваться сервисом Kaspersky Compromise Assessment для выявления признаков компрометации.

Советы