Бэкдор в XZ Utils (CVE-2024-3094).

Атака на цепочку поставок 2024 года, едва не увенчавшаяся успехом: давний контрибьютор внедрил обфусцированный SSH-бэкдор в библиотеку xz/liblzma, поставляемую большинством дистрибутивов Linux. Относится к категории Атаки и угрозы в кибербезопасности.

Атака на цепочку поставок 2024 года, едва не увенчавшаяся успехом: давний контрибьютор внедрил обфусцированный SSH-бэкдор в библиотеку xz/liblzma, поставляемую большинством дистрибутивов Linux.

Бэкдор в XZ Utils (CVE-2024-3094) — компрометация программной цепочки поставок, раскрытая 29 марта 2024 года инженером Microsoft Andres Freund после того, как он заметил аномальную загрузку CPU и ошибки Valgrind в sshd на системе Debian sid. Расследование показало, что upstream-мейнтейнер xz/liblzma 'Jia Tan' — псевдоним, почти два года заслуживавший доверие проекта, — закоммитил обфусцированные сборочные сценарии, которые при пакетировании в дистрибутивах на базе rpm или deb с цепочкой зависимостей systemd libsystemd → liblzma подменяли функцию сервера OpenSSH через IFUNC-резолверы и предоставляли владельцу определённого приватного ключа Ed448 возможность удалённого выполнения кода. Вредоносный код попал в xz-utils 5.6.0 и 5.6.1 и достиг Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali и Arch, однако был обнаружен до выхода большинства стабильных релизов. Инцидент существенно изменил отраслевое восприятие риска зависимостей с одним мейнтейнером, скрытности на основе IFUNC и пределов доверия к давним контрибьюторам.

Защита от Бэкдор в XZ Utils (CVE-2024-3094) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: CVE-2024-3094, Бэкдор Jia Tan, Бэкдор liblzma.