Бэкдор в XZ Utils (CVE-2024-3094)
Что такое Бэкдор в XZ Utils (CVE-2024-3094)?
Бэкдор в XZ Utils (CVE-2024-3094)Атака на цепочку поставок 2024 года, едва не увенчавшаяся успехом: давний контрибьютор внедрил обфусцированный SSH-бэкдор в библиотеку xz/liblzma, поставляемую большинством дистрибутивов Linux.
Бэкдор в XZ Utils (CVE-2024-3094) — компрометация программной цепочки поставок, раскрытая 29 марта 2024 года инженером Microsoft Andres Freund после того, как он заметил аномальную загрузку CPU и ошибки Valgrind в sshd на системе Debian sid. Расследование показало, что upstream-мейнтейнер xz/liblzma 'Jia Tan' — псевдоним, почти два года заслуживавший доверие проекта, — закоммитил обфусцированные сборочные сценарии, которые при пакетировании в дистрибутивах на базе rpm или deb с цепочкой зависимостей systemd libsystemd → liblzma подменяли функцию сервера OpenSSH через IFUNC-резолверы и предоставляли владельцу определённого приватного ключа Ed448 возможность удалённого выполнения кода. Вредоносный код попал в xz-utils 5.6.0 и 5.6.1 и достиг Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali и Arch, однако был обнаружен до выхода большинства стабильных релизов. Инцидент существенно изменил отраслевое восприятие риска зависимостей с одним мейнтейнером, скрытности на основе IFUNC и пределов доверия к давним контрибьюторам.
● Примеры
- 01
Andres Freund обнаружил бэкдор, заметив, что на Debian unstable sshd тратит примерно на 500 мс больше времени при неудачных входах.
- 02
Дистрибутивы откатили xz-utils на ветку 5.4.x и провели ротацию SSH-ключей хоста во всех системах, кратковременно запускавших 5.6.0 или 5.6.1.
● Частые вопросы
Что такое Бэкдор в XZ Utils (CVE-2024-3094)?
Атака на цепочку поставок 2024 года, едва не увенчавшаяся успехом: давний контрибьютор внедрил обфусцированный SSH-бэкдор в библиотеку xz/liblzma, поставляемую большинством дистрибутивов Linux. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Бэкдор в XZ Utils (CVE-2024-3094)?
Атака на цепочку поставок 2024 года, едва не увенчавшаяся успехом: давний контрибьютор внедрил обфусцированный SSH-бэкдор в библиотеку xz/liblzma, поставляемую большинством дистрибутивов Linux.
Как защититься от Бэкдор в XZ Utils (CVE-2024-3094)?
Защита от Бэкдор в XZ Utils (CVE-2024-3094) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Бэкдор в XZ Utils (CVE-2024-3094)?
Распространённые альтернативные названия: CVE-2024-3094, Бэкдор Jia Tan, Бэкдор liblzma.