متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس

Red Hat به کاربران هشدار داد که فوراً استفاده از سیستم‌های دارای نسخه‌های توسعه‌ یافته و آزمایشی FEDORA را متوقف کنند، چرا که در آخرین نسخه‌های Library ابزار فشرده‌سازی داده محبوب XZ درب‌پشتی وجود دارد.

Red Hat به تازگی هشدار امنیتی فوری منتشر کرد و اخطار داد که در دو نسخه از library نرم‌افزار محبوب فشرده‌سازی داده به نام XZ Utils (LZMA Utils سابق) که در توزیع های اصلی لینوکس گنجانده شده است، کد مخربی به منظور دسترسی غیرمجاز از راه دور تعبیه شده است.

RedHat زیرمجموعه IBM در توصیه‌ مذکور هشدار داد: «فوراً استفاده از هر نمونه FEDORA 41 یا FEDORA RAWHIDE را متوقف سازید.» بهتر است کاربران نسخه‌های Fedora Linux 40 نیز نسبت به  downgrade به نسخه‌ امن XZ اقدام نمایند. در حال حاضر آخرین نسخه امن در  دسترس، xz 5.4.x می‌باشد.

RedHat تصریح کرد که “از طریق یک سری مبهم‌سازی‌های پیچیده، فرآیند ساخت liblzma، یک فایل شی از پیش ساخته شده را از یک فایل آزمایشی پنهان شده موجود در کد منبع استخراج می‌کند، که سپس برای تغییر عملکردهای خاص در کد liblzma استفاده می‌شود.”

“این اقدام منجر به کتابخانه liblzma غیر معمول می‌شود که توسط هر نرم‌افزار مرتبط با این کتابخانه می‌تواند استفاده شود و تعامل داده‌ها با این کتابخانه را رهگیری و اصلاح کند.”

کد مخرب ساخته شده به طور خاص، در کد به گونه‌ای طراحی شده که از طریق systemd در فرآیند sshd daemon برای SSH (Secure Shell) تداخل داشته باشد. در نتیجه به طور بالقوه عامل تهدید را قادر می‌سازد تا احراز هویت sshd را دور زده و از راه دور تحت شرایط مناسب، دسترسی غیرمجاز به سیستم را به دست آورد.

اکسپلویت‌های شناخته‌شده

در تاریخ نگارش این گزارش (۱۲ فروردین ۱۴۰۳)، هیچ اکسپلویت شناخته شده‌ای برای آسیب‌پذیری CVE-2024-3094 وجود ندارد. با این حال، وضعیت هنوز در حال توسعه است و ممکن است در روزها و هفته‌های آینده اطلاعات بیشتری حاصل شود.

نرم‌افزارهای تحت تأثیر

آسیب‌پذیری CVE-2024-3094 بر نسخه های 5.6.0 و 5.6.1 پکیج xz-utils تأثیر می گذارد.

هیچ نسخه‌ای از لینوکس Red Hat Enterprise (RHEL) تحت تاثیر قرار نگرفته است. گزارش‌ها و شواهدی مبنی بر ایجاد موفقیت‌آمیز تزریق در نسخه‌های xz 5.6.x ساخته‌ شده برای Debian unstable (Sid) وجود دارد. سایر توزیع‌ها نیز ممکن است تحت تاثیر قرار بگیرند.

گفتنی است که این پکیج در نرم‌افزارها و سیستم عامل‌های مختلف به ویژه سیستم عامل های مبتنی بر لینوکس استفاده می‌شود. که چند نمونه آن به شرح زیر است:

• OpenSSH: این مسئله ممکن است نقص‌های امنیتی را در OpenSSH با استفاده از liblzma در برخی از محیط‌های سیستم عامل ایجاد کند.
• توزیع‌های لینوکس: XZ Utils نرم‌افزار فشرده‌سازی داده‌ها است و ممکن است در توزیع‌های مختلف لینوکس وجود داشته باشد.
• برای سایر نرم‌افزارها یا سیستم عامل‌ها، توصیه می‌شود به اطلاعات ارائه شده توسط سازندگان مربوطه مراجعه کنید.

توزیع‌های تحت تأثیر لینوکس

🔺پکیج‌های آسیب‌پذیر در FEDORA41 یا FEDORA RAWHIDE وجود دارد.

🔺هیچ نسخه‌ای از Red Hat Enterprise Linux (RHEL) تحت تأثیر قرار نگرفته است. کاربران باید تا هنگام وجود امکانی جهت تغییر نسخه xz، فوراً استفاده از نسخه‌های آسیب دیده را متوقف سازند.

🔺Debian Linux: هیچ نسخه پایداری از توزیع تحت تأثیر قرار نگرفته است، اما پکیج‌های در معرض خطر بخشی از نسخه‌های آزمایشی، ناپایدار و آزمایشی بودند. لازم است کاربران xz-utils را به روز کنند.

🔺Kali Linux: اگر سیستم‌ها بین ۷ تا ۱۰ فروردین (۲۶ الی ۲۹ مارس) به‌روزرسانی شده‌اند، نیاز به به‌روزرسانی مجدد جهت رفع مشکل می‌باشد. در صورتی‌ که آخرین آپدیت Kali پیش از ۷ فروردین باشد، تحت تأثیر این درب پشتی قرار نمی‌گیرد.

🔺SUSE: به روزرسانی برای openSUSE (Tumbleweed یا MicroOS) در دسترس است.

راهکارهای مقابله در برابر این نقص

چند مرحله به شرح موارد زیر وجود دارد که توصیه می‌شود جهت محافظت از سیستم خود در برابر آسیب‌پذیری CVE-2024-3094 انجام دهید:

1️⃣ شناسایی سیستم‌های آسیب دیده: مشخص کنید که آیا نسخه‌های آسیب دیده xz یا xz-utils (5.6.0 و 5.6.1) را روی سیستم خود نصب کرده‌اید یا خیر؟! با اجرای دستور زیر از نسخه xz خود مطلع شده و در صورت استفاده از نسخه‌های (5.6.0 و 5.6.1)، نسبت به Downgrade به نسخه‌های امن (به xz 5.4.x) تا زمان ارائه بروز رسانی معتبر اقدام نمایید.

xz -V (xz --version)

2️⃣ سیستم‌های بالقوه در معرض خطر را جایگزین کنید: در صورت امکان، هاست‌ها و کانتینرهای دارای نسخه بالقوه مخرب باید از مدار خارج و در صورتی که در معرض خطر قرار گرفته‌اند، جایگزین شوند.

3️⃣ نظارت و توجه ویژه به‌روزرسانی‌ها: حتما به به‌روزرسانی‌های سازندگان نرم‌افزار و توصیه‌های امنیتی آن توجه کنید، چرا که آخرین اطلاعات و توصیه‌ها را به منظور کاهش خطر ارائه خواهند کرد.

4️⃣ استفاده از ابزارهای امنیتی: از ابزارهای امنیتی برای بررسی وجود کانتینرهایی با هر نسخه 5.6 از xz util استفاده کنید.

CISA همچنین به توسعه‌دهندگان و کاربران هشدار داد که به نسخه XZ غیرقابل نفوذ (یعنی 5.4.6 Stable) تنزل داده و هرگونه فعالیت مخرب یا مشکوک را در سیستم‌های خود جستجو و بررسی کنند.