რა საშიშროებას შეიცავს მავნე კოდი Linux დისტრიბუციებში: განმარტავენ „კასპერსკის ლაბორატორიის“  ექსპერტები

თბილისი, 9 აპრილი. უცნობმა თავდამსხმელებმა განათავსეს მავნე კოდი Linux-ის ზოგიერთ დისტრიბუციაში, 5.6.0 და 5.6.1. ვერსიების  შეკუმშვის უტილიტაში  XZ Utils  ღია ამოსავალი  კოდით.  როგორც  „კასპერსკის ლაბორატორია“ გვაცნობებს, უტილიტებმა ბეკდორით მოახერხეს Linux-ის მარტის თვის რამდენიმე პოპულარულ ვერსიაში მოხვედრა.  ეს განთავსება შეიძლება ჩაითვალოს მიწოდების ჯაჭვზე  თავდასხმად.  დაუცველობას მინიჭებული აქვს ნომერი CVE-2024-3094.

კომპანიის ექსპერტები განმარტავენ, რომ სხვადასხვა მკვლევარები თავდაპირველად აცხადებდნენ, რომ ბეკდორი თავდამსხმელებს საშუალებას აძლევდა გვერდის ავლით აეღოთ sshd-ის ავტორიზაცია, OpenSSH სერვერის პროცესი და დისტანციურად მიეღოთ არაავტორიზებული წვდომა ოპერაციულ სისტემაზე. თუმცა, უახლესი ინფორმაციის მიხედვით თუ ვიმსჯელებთ, ეს დაუცველობა არ უნდა იყოს კლასიფიცირებული, როგორც „ავთენტიფიკაციის შემოვლითი“ კლასი, არამედ უნდა იქნეს მიჩნეული, როგორც  „დისტანციური კოდის შეყვანა“ (RCE). ბეკდური  წყვეტს RSA_public_decrypt ფუნქციას, ამოწმებს ჰოსტის ხელმოწერას Ed448 ფიქსირებული გასაღების გამოყენებით და წარმატებით დამოწმების შემთხვევაში, ახორციელებს ჰოსტის მიერ გადაცემულ მავნე კოდს system() ფუნქციის მეშვეობით, არ ტოვებს კვალს sshd ჟურნალებში.

დანამდვილებით ცნობილია, რომ XZ Utils ვერსიები 5.6.0 და 5.6.1 მოხვდნენ  Linux დისტრიბუციების მარტის ვერსიებში:

• Kali Linux, მაგრამ ოფიციალური ბლოგის მიხედვით, ხელმისაწვდომია მხოლოდ 26-დან 29 მარტამდე (ბლოგი ასევე შეიცავს ინსტრუქციებს კომუნალური პროგრამების დაუცველი ვერსიების შესამოწმებლად);
• openSUSE Tumbleweed და openSUSE MicroOS, ხელმისაწვდომია 7-დან 28 მარტამდე;
• Fedora 41, Fedora Rawhide და Fedora Linux 40 beta;
• Debian (ტესტური, არასტაბილური და ექსპერიმენტული ვერსიები);
• Arch Linux – კონტეინერის სურათები ხელმისაწვდომია 29 თებერვლიდან 29 მარტამდე. თუმცა, ვებსაიტზე archlinux.org  ნათქვამია, რომ განხორციელების მახასიათებლების გამო, შეტევის ეს ვექტორი არ იმუშავებს Arch Linux-ში, თუმცა ისინი მაინც მომხმატებელს დაჟინებულად  ურჩევენ სისტემის განახლებას.

ოფიციალური ინფორმაციით, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap, Debian Stable არ არის დაუცველი. აზრი აქვს თავად შეამოწმოთ სხვა დისტრიბუციები XZ Utils-ის ტროიანიზებული ვერსიების არსებობაზე.

ექსპერტები თვლიან, რომ მავნე კოდი კომუნალურ სერვისებში მოხვდა შემდეგი გზით: როგორც ჩანს,ეს იყო  სტანდარტული ისტორია საცავზე კონტროლის GitHub-ზე გადაცემით. პირი, რომელიც თავდაპირველად მხარს უჭერდა XZ Libs პროექტს, გადასცა კონტროლი ანგარიშზე, რომელიც ხელს უწყობს მონაცემთა შეკუმშვასთან დაკავშირებულ რიგ საცავებს რამდენიმე წლის განმავლობაში, შემდეგ კი,  რაღაც მომენტში მან დაამატა ბეკდორის პროექტის კოდს.

აშშ-ის კიბერუსაფრთხოების და ინფრასტრუქტურის დაცვის სააგენტო რეკომენდაციას უწევს  ყველას, ვინც მარტში განაახლებს დაზარალებულ ოპერაციულ სისტემებს, დაუყოვნებლივ გადავიდეს  XZ Utils-ის ადრინდელ ვერსიაზე (მაგალითად, ვერსია 5.4.6), ასევე მოძებნონ მავნე მოქმედება.

თუ დაინსტალირებული იყო სადისტრიბუციო ნაკრები დაუცველი ვერსიით, მიზანშეწონილი იქნება თუ  შეცვლიან  ანგარიშის მონაცემებს,  რომლებიც პოტენციურად შეიძლება მიიღონ თავდამსხმელებმა სისტემიდან.

თქვენ შეგიძლიათ დაადგინოთ დაუცველობის არსებობა თუ გამოიყენებთ  CVE-2024-3094-ისთვის Yara წესს.

თუ არსებობს ეჭვი, რომ თავდამსხმელებმა მიაღწიეს წვდომას კომპანიის ინფრასტრუქტურაზე, რეკომენდირებულია გამოიყენოთ Kaspersky Compromise Assessment სერვისი კომპრომეტაციის  ნიშნების დასადგენად.