RedHat heeft vrijdag een “dringende veiligheidswaarschuwing” uitgebracht waarin wordt gewaarschuwd dat twee versies van een populaire datacompressiebibliotheek genaamd XZ Utils (voorheen LZMA Utils) achter de deur zijn geplaatst met kwaadaardige code die is ontworpen om ongeautoriseerde toegang op afstand mogelijk te maken.
Het compromis van de softwaretoeleveringsketen, gevolgd als CVE-2024-3094, heeft een CVSS-score van 10,0, wat de maximale ernst aangeeft. Het heeft invloed op XZ Utils-versies 5.6.0 (uitgebracht op 24 februari) en 5.6.1 (uitgebracht op 9 maart).
“Door een reeks complexe verduisteringen extraheert het liblzma-bouwproces een vooraf gebouwd objectbestand uit een vermomd testbestand dat in de broncode bestaat, dat vervolgens wordt gebruikt om specifieke functies in de liblzma-code te wijzigen”, aldus de IBM-dochteronderneming in een advies.
“Dit resulteert in een aangepaste liblzma-bibliotheek die kan worden gebruikt door elke software die aan deze bibliotheek is gekoppeld, waarbij de gegevensinteractie met deze bibliotheek wordt onderschept en gewijzigd.”
Concreet is de snode code die in de code is ingebakken ontworpen om het sshd-daemonproces voor SSH (Secure Shell) te verstoren via de systemd-softwaresuite, en mogelijk een bedreigingsactor in staat te stellen de sshd-authenticatie te verbreken en ongeautoriseerde toegang tot het systeem op afstand te verkrijgen “onder de juiste omstandigheden.”
Microsoft-beveiligingsonderzoeker Andres Freund heeft vrijdag het probleem ontdekt en gerapporteerd. De zwaar versluierde kwaadaardige code zou zijn geïntroduceerd tijdens een reeks van vier commits aan het Tukaani-project op GitHub door een gebruiker genaamd JiaT75.
“Gezien de activiteit gedurende meerdere weken, is de dader er direct bij betrokken, of was er sprake van een behoorlijk ernstige inbreuk op hun systeem”, zei Freund. “Helaas lijkt dit laatste de minder waarschijnlijke verklaring, aangezien ze op verschillende lijsten communiceerden over de 'fixes'.”
GitHub, eigendom van Microsoft, heeft sindsdien de XZ Utils-repository uitgeschakeld die wordt onderhouden door het Tukaani Project “vanwege een schending van de servicevoorwaarden van GitHub.” Er zijn momenteel geen meldingen van actieve exploitatie in het wild.
Uit bewijsmateriaal blijkt dat de pakketten alleen aanwezig zijn in Fedora 41 en Fedora Rawhide, en geen invloed hebben op Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux en SUSE Linux Enterprise en Leap.
Uit grote voorzichtigheid is Fedora Linux 40 gebruikers aanbevolen om te downgraden naar een 5.4 build. Enkele van de andere Linux-distributies die getroffen zijn door de supply chain-aanval staan hieronder:
Deze ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet een eigen waarschuwing uit te vaardigen, waarin gebruikers worden opgeroepen XZ Utils te downgraden naar een compromisloze versie (bijvoorbeeld XZ Utils 5.4.6 Stable).
