Сообщество информационной безопасности столкнулось с одним из наиболее тревожных инцидентов последнего времени - целенаправленной атакой на цепочку поставок критически важного компонента для операционных систем Linux. Компания Red Hat выпустила экстренное предупреждение о наличии вредоносного кода в популярных библиотеках сжатия данных xz, что потенциально открывает злоумышленникам путь к несанкционированному удалённому доступу к системам. Этот случай подчёркивает, насколько уязвимыми могут быть даже базовые, доверенные инструменты с открытым исходным кодом, от которых зависит работа миллионов серверов и рабочих станций по всему миру.
Детали уязвимости CVE-2024-3094
Инцидент был обнаружен исследователями кибербезопасности, которые выявили целенаправленную и высокотехнологичную операцию по внедрению скрытого функционала. Уязвимость получила идентификатор CVE-2024-3094. Скомпрометированными оказались версии 5.6.0 и 5.6.1 библиотек xz и xz-libs. Xz - это широко распространённый формат сжатия данных, который присутствует практически в каждом дистрибутиве Linux, как коммерческом, так и разрабатываемом сообществом. Он используется для эффективной работы с архивами, пакетами обновлений и любыми другими операциями, требующими уменьшения размера файлов.
Особенность и опасность этой атаки заключается в её изощрённости. Злоумышленники применили технику обфускации, то есть намеренного усложнения и сокрытия кода. Вредоносная полезная нагрузка собиралась в полном объёме только на этапе компиляции официального пакета для загрузки. При этом в основном репозитории Git отсутствовал специфичный M4-макрос, необходимый для активации сборки зловредного компонента. Это позволило скрыть угрозу от стандартных процедур проверки исходного кода. Во время сборки, если вредоносный макрос присутствовал, он взаимодействовал со скрытыми артефактами второго этапа, что в итоге приводило к созданию скомпрометированной версии библиотеки.
После успешного развёртывания такая модифицированная библиотека вмешивалась в процесс аутентификации демона SSH (sshd) через службу systemd. Поскольку SSH является стандартным и повсеместно используемым протоколом для безопасного удалённого управления системами, такое вмешательство носит критический характер. При определённых условиях злоумышленник мог бы использовать это изменение, чтобы обойти механизмы аутентификации SSH и получить полный несанкционированный удалённый доступ к системе. Это классический пример атаки на цепочку поставок, когда компрометация одного широко используемого компонента позволяет потенциально атаковать огромное количество ничем не связанных между собой систем.
На данный момент подтверждено, что скомпрометированные пакеты напрямую затронули экосистему сообщества Red Hat. В зоне риска оказались пользователи тестовых сборок Fedora 40 Beta и Fedora Rawhide - развивающейся версии дистрибутива, которая служит основой для будущих выпусков, таких как Fedora 41. Кроме того, есть сообщения об успешной сборке заражённых версий для дистрибутива Debian unstable (Sid). Между тем, важно отметить, что, по данным Red Hat, ни одна версия коммерческого продукта Red Hat Enterprise Linux (RHEL) не подвержена данной уязвимости. Также в компании полагают, что в конкретных сборках Fedora Linux 40 вредоносный код, по всей видимости, не был активирован, однако меры предосторожности необходимы.
Системным администраторам и пользователям настоятельно рекомендуется немедленно принять защитные меры. Red Hat призывает полностью прекратить использование Fedora Rawhide для любой деятельности - как рабочей, так и личной - до устранения угрозы. Всем затронутым пользователям необходимо откатить установленные библиотеки xz до безопасной версии 5.4.x. Для пользователей Fedora Linux 40 через стандартную систему обновлений уже выпущен пакет, возвращающий библиотеку к версии 5.4.x. Тем, кто хочет ускорить процесс, доступны инструкции для принудительного обновления.
Этот инцидент служит суровым напоминанием о важности постоянного мониторинга даже самых базовых компонентов инфраструктуры. Атаки на цепочки поставок открытого программного обеспечения становятся всё более изощрёнными, нацеливаясь на доверие, которое является основой этой экосистемы. Специалистам по безопасности необходимо не только оперативно реагировать на подобные угрозы, но и пересматривать процессы проверки зависимостей и аудита кода в критически важных проектах. В свою очередь, пользователям дистрибутивов, особенно тестовых и развивающихся веток, следует проявлять особую бдительность и незамедлительно применять выпущенные исправления безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-3094
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-40-and-rawhide-users
- https://access.redhat.com/security/cve/CVE-2024-3094
