Vulnérabilité CVE-2024-3094 (porte dérobée XZ)

Les analystes en sécurité ont récemment découvert une vulnérabilité critique aux répercussions potentiellement dévastatrices. Selon un avis de sécurité urgent, deux itérations de l'outil de compression de données largement utilisé, XZ Utils (anciennement connu sous le nom de LZMA Utils), ont été compromises par un code malveillant. Ce code permet un accès à distance non autorisé aux systèmes concernés.

Cette faille de sécurité, identifiée comme CVE-2024-3094, est évaluée avec un score CVSS de 10,0, ce qui signifie le niveau de gravité le plus élevé. Cela affecte les versions 5.6.0 (publiées le 24 février 2024) et 5.6.1 (publiées le 9 mars 2024) de XZ Utils.

L'exploit implique une manipulation sophistiquée du processus de construction de liblzma. Plus précisément, un fichier objet prédéfini est extrait d'un fichier de test déguisé dans le code source. Ce fichier objet est ensuite utilisé pour modifier des fonctions spécifiques au sein du code liblzma, perpétuant ainsi le compromis.

La vulnérabilité CVE-2024-3094 permet aux attaquants d’envoyer des charges utiles arbitraires

Le processus menaçant conduit à une version modifiée de la bibliothèque liblzma, capable d'intercepter et de modifier les interactions de données avec tout logiciel qui l'utilise.

Plus précisément, le mauvais code intégré dans la bibliothèque est conçu pour perturber le processus démon sshd, un composant de SSH (Secure Shell), via la suite logicielle systemd. Cette manipulation donne potentiellement à un acteur malveillant la possibilité de compromettre l'authentification sshd et d'accéder illégalement au système à distance, sous réserve que certaines conditions soient remplies.

Le but ultime de la porte dérobée nuisible introduite par CVE-2024-3094 est d'injecter du code dans le serveur OpenSSH (SSHD) exécuté sur la machine victime. Cela permettrait à des attaquants distants spécifiques, en possession d'une clé privée particulière, d'envoyer des charges utiles arbitraires via SSH. Ces charges utiles s’exécuteraient avant l’étape d’authentification, prenant ainsi le contrôle de l’ensemble du système victime.

La vulnérabilité CVE-2024-3094 a probablement été introduite intentionnellement par un acteur lié à la fraude

Le code malveillant finement dissimulé semble avoir été intégré via une séquence de quatre commits dans le projet Tukaani sur GitHub par un utilisateur identifié comme Jia Tan (JiaT75).

Compte tenu de l'activité soutenue sur plusieurs semaines, cela suggère que l'auteur du crime est soit directement impliqué, soit qu'il a subi une compromission importante de son système. Cependant, ce dernier scénario semble moins plausible, compte tenu de leur engagement sur divers forums concernant les prétendus « correctifs ».

GitHub, désormais propriété de Microsoft, a pris des mesures en désactivant le référentiel XZ Utils géré par le projet Tukaani, invoquant une violation des conditions de service de GitHub. Pour l’instant, aucune exploitation active n’a été signalée dans la nature.

Les enquêtes indiquent que ces packages compromis se trouvent exclusivement dans les distributions Fedora 41 et Fedora Rawhide. Les autres distributions majeures telles que Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise et Leap et Ubuntu ne sont pas affectées par ce problème de sécurité.

Atténuation de la vulnérabilité de porte dérobée CVE-2024-3094

Il a été conseillé aux utilisateurs de Fedora Linux 40 de revenir à une version 5.4. De plus, plusieurs autres distributions Linux ont été affectées par l'attaque de la chaîne d'approvisionnement, notamment :

Arch Linux (support d'installation 2024.03.01, images de machines virtuelles 20240301.218094 et 20240315.221711 et images de conteneurs créées entre le 24 février 2024 et le 28 mars 2024)

• Kali Linux (entre le 26 et le 29 mars)
• openSUSE Tumbleweed et openSUSE MicroOS (entre le 7 et le 28 mars)
• Versions de test Debian, instables et expérimentales (allant de 5.5.1alpha-0.1 à 5.6.1-1)

Ce développement a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à émettre sa propre alerte, conseillant aux utilisateurs de restaurer XZ Utils vers une version non affectée par la compromission, telle que XZ Utils 5.4.6 Stable.