Porte dérobée XZ Utils (CVE-2024-3094)
Qu'est-ce que Porte dérobée XZ Utils (CVE-2024-3094) ?
Porte dérobée XZ Utils (CVE-2024-3094)Attaque de chaîne d'approvisionnement de 2024, passée à deux doigts du succès, où un contributeur de longue date a implanté une porte dérobée SSH obfusquée dans la bibliothèque xz/liblzma utilisée par la plupart des distributions Linux.
La porte dérobée XZ Utils (CVE-2024-3094) est une compromission de la chaîne d'approvisionnement logicielle divulguée le 29 mars 2024 par Andres Freund, ingénieur chez Microsoft, après qu'il a remarqué une utilisation CPU anormale et des erreurs Valgrind dans sshd sur un système Debian sid. L'enquête a montré que le mainteneur amont de xz/liblzma 'Jia Tan' — un pseudonyme ayant patiemment construit sa réputation pendant près de deux ans — avait introduit des scripts de build obfusqués qui, lors de l'empaquetage sur des distributions rpm ou deb avec la dépendance libsystemd → liblzma de systemd, remplaçaient une fonction du serveur OpenSSH via des résolveurs IFUNC et permettaient l'exécution de code à distance pour le détenteur d'une clé privée Ed448 spécifique. Le code malveillant a été livré dans xz-utils 5.6.0 et 5.6.1 et a atteint Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali et Arch, mais a été détecté avant la plupart des versions stables. L'incident a profondément modifié la perception du risque lié aux dépendances à mainteneur unique, à la furtivité basée sur IFUNC et aux limites de la confiance dans les contributeurs de longue date.
● Exemples
- 01
Andres Freund a détecté la porte dérobée après avoir constaté que sshd prenait environ 500 ms de plus qu'attendu lors des connexions échouées sur Debian unstable.
- 02
Les distributions ont rétrogradé xz-utils vers la branche 5.4.x et ont rotaté les clés SSH d'hôte sur tout système ayant brièvement exécuté 5.6.0 ou 5.6.1.
● Questions fréquentes
Qu'est-ce que Porte dérobée XZ Utils (CVE-2024-3094) ?
Attaque de chaîne d'approvisionnement de 2024, passée à deux doigts du succès, où un contributeur de longue date a implanté une porte dérobée SSH obfusquée dans la bibliothèque xz/liblzma utilisée par la plupart des distributions Linux. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Porte dérobée XZ Utils (CVE-2024-3094) ?
Attaque de chaîne d'approvisionnement de 2024, passée à deux doigts du succès, où un contributeur de longue date a implanté une porte dérobée SSH obfusquée dans la bibliothèque xz/liblzma utilisée par la plupart des distributions Linux.
Comment fonctionne Porte dérobée XZ Utils (CVE-2024-3094) ?
La porte dérobée XZ Utils (CVE-2024-3094) est une compromission de la chaîne d'approvisionnement logicielle divulguée le 29 mars 2024 par Andres Freund, ingénieur chez Microsoft, après qu'il a remarqué une utilisation CPU anormale et des erreurs Valgrind dans sshd sur un système Debian sid. L'enquête a montré que le mainteneur amont de xz/liblzma 'Jia Tan' — un pseudonyme ayant patiemment construit sa réputation pendant près de deux ans — avait introduit des scripts de build obfusqués qui, lors de l'empaquetage sur des distributions rpm ou deb avec la dépendance libsystemd → liblzma de systemd, remplaçaient une fonction du serveur OpenSSH via des résolveurs IFUNC et permettaient l'exécution de code à distance pour le détenteur d'une clé privée Ed448 spécifique. Le code malveillant a été livré dans xz-utils 5.6.0 et 5.6.1 et a atteint Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali et Arch, mais a été détecté avant la plupart des versions stables. L'incident a profondément modifié la perception du risque lié aux dépendances à mainteneur unique, à la furtivité basée sur IFUNC et aux limites de la confiance dans les contributeurs de longue date.
Comment se défendre contre Porte dérobée XZ Utils (CVE-2024-3094) ?
Les défenses contre Porte dérobée XZ Utils (CVE-2024-3094) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Porte dérobée XZ Utils (CVE-2024-3094) ?
Noms alternatifs courants : CVE-2024-3094, Porte dérobée Jia Tan, Porte dérobée liblzma.
● Termes liés
- attacks№ 1234
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- appsec№ 1186
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- malware№ 095
Porte dérobée
Mécanisme caché qui contourne l'authentification ou les contrôles d'accès normaux afin de donner à un attaquant un accès futur au système.
- network-security№ 1205
SSH
Protocole reseau cryptographique (RFC 4251, port 22) qui fournit une session a distance, l'execution de commandes et des tunnels authentifies, chiffres et integres sur un reseau non fiable.
- attacks№ 719
Paquet npm malveillant
Paquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation.
- appsec№ 335
Attaque par confusion de dépendances
Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.