Служител на Microsoft случайно предотврати Linux бедствие

Уязвимост в компресираща програма засяга няколко популярни Linux дистрибуции
(снимка: CC0 Public Domain)

Microsoft публикува насоки и съвети относно уязвимост в задна вратичка на програмата за компресиране XZ Utils, идентифицирана като CVE-2024-3094. Тази уязвимост в сигурността е с много висока степен на опасност – има оценка CVSS 10.0 (Common Vulnerability Scoring System), засяга няколко дистрибуции на Linux, вкл. Fedora, Kali Linux, OpenSUSE и Alpine, и може да има огромно глобално въздействие.

За щастие, уязвимостта беше случайно открита навреме от Linux разработчик на Microsoft. Андрес Фройнд е бил любопитен защо има забавяне от 500 ms в SSH (Secure Shell) връзките и разкрива злонамерена задна врата, която е била вградена във файловия компресор XZ.

Към момента VirtusTotal изброява само седем доставчици на сигурност (включително Microsoft) от общо 63, които правилно откриват експлойта като вреден. Следователно инженерът на Microsoft трябва да бъде похвален, тъй като обръща внимание на сериозен проблем. Инцидентът също така показва как софтуерът с отворен код може да бъде експлоатиран от злонамерени играчи, коментира Neowin.

Версии 5.6.0 и 5.6.1 на XZ Utils са компрометирани. Официалната препоръка на Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) към потребителите е да използват по-стари безопасни версии на помощната програма.

Съгласно препоръчителните насоки, за да проверят дали дадена Linux система съдържа уязвимия софтуер, потребителите могат да изпълнят следната команда в SSH с администраторски привилегии: xz –version

Предлагат се и инструменти за сканиране и откриване от т.нар. трети страни. Компаниите за изследване на сигурността Qualys и Binarly публикуваха такива инструменти, за да помогнат на Linux потребителите да разберат дали техните системи са засегнати.

Qualys публикува VULNSIGS версия 2.6.15-6 и маркира уязвимостта като QID (Qualys Vulnerability Detection ID) “379548”. Междувременно Binarly пусна и безплатен скенер за задната врата, който при откриване на компрометирана версия на XZ Utils издава съобщение „XZ злонамерен имплант”.