Red Hat به کاربران هشدار داد که فوراً استفاده از سیستمهای دارای نسخههای توسعه یافته و آزمایشی FEDORA را متوقف کنند، چرا که در آخرین نسخههای Library ابزار فشردهسازی داده محبوب XZ دربپشتی وجود دارد.
Red Hat به تازگی هشدار امنیتی فوری منتشر کرد و اخطار داد که در دو نسخه از library نرمافزار محبوب فشردهسازی داده به نام XZ Utils (LZMA Utils سابق) که در توزیع های اصلی لینوکس گنجانده شده است، کد مخربی به منظور دسترسی غیرمجاز از راه دور تعبیه شده است.
RedHat زیرمجموعه IBM در توصیه مذکور هشدار داد: «فوراً استفاده از هر نمونه FEDORA 41 یا FEDORA RAWHIDE را متوقف سازید.» بهتر است کاربران نسخههای Fedora Linux 40 نیز نسبت به downgrade به نسخه امن XZ اقدام نمایند. در حال حاضر آخرین نسخه امن در دسترس، xz 5.4.x میباشد.
RedHat تصریح کرد که “از طریق یک سری مبهمسازیهای پیچیده، فرآیند ساخت liblzma، یک فایل شی از پیش ساخته شده را از یک فایل آزمایشی پنهان شده موجود در کد منبع استخراج میکند، که سپس برای تغییر عملکردهای خاص در کد liblzma استفاده میشود.”
“این اقدام منجر به کتابخانه liblzma غیر معمول میشود که توسط هر نرمافزار مرتبط با این کتابخانه میتواند استفاده شود و تعامل دادهها با این کتابخانه را رهگیری و اصلاح کند.”
کد مخرب ساخته شده به طور خاص، در کد به گونهای طراحی شده که از طریق systemd در فرآیند sshd daemon برای SSH (Secure Shell) تداخل داشته باشد. در نتیجه به طور بالقوه عامل تهدید را قادر میسازد تا احراز هویت sshd را دور زده و از راه دور تحت شرایط مناسب، دسترسی غیرمجاز به سیستم را به دست آورد.
اکسپلویتهای شناختهشده
در تاریخ نگارش این گزارش (۱۲ فروردین ۱۴۰۳)، هیچ اکسپلویت شناخته شدهای برای آسیبپذیری CVE-2024-3094 وجود ندارد. با این حال، وضعیت هنوز در حال توسعه است و ممکن است در روزها و هفتههای آینده اطلاعات بیشتری حاصل شود.
نرمافزارهای تحت تأثیر
آسیبپذیری CVE-2024-3094 بر نسخه های 5.6.0 و 5.6.1 پکیج xz-utils تأثیر می گذارد.
هیچ نسخهای از لینوکس Red Hat Enterprise (RHEL) تحت تاثیر قرار نگرفته است. گزارشها و شواهدی مبنی بر ایجاد موفقیتآمیز تزریق در نسخههای xz 5.6.x ساخته شده برای Debian unstable (Sid) وجود دارد. سایر توزیعها نیز ممکن است تحت تاثیر قرار بگیرند.
گفتنی است که این پکیج در نرمافزارها و سیستم عاملهای مختلف به ویژه سیستم عامل های مبتنی بر لینوکس استفاده میشود. که چند نمونه آن به شرح زیر است:
- OpenSSH: این مسئله ممکن است نقصهای امنیتی را در OpenSSH با استفاده از liblzma در برخی از محیطهای سیستم عامل ایجاد کند.
- توزیعهای لینوکس: XZ Utils نرمافزار فشردهسازی دادهها است و ممکن است در توزیعهای مختلف لینوکس وجود داشته باشد.
- برای سایر نرمافزارها یا سیستم عاملها، توصیه میشود به اطلاعات ارائه شده توسط سازندگان مربوطه مراجعه کنید.
توزیعهای تحت تأثیر لینوکس
🔺پکیجهای آسیبپذیر در FEDORA41 یا FEDORA RAWHIDE وجود دارد.
🔺هیچ نسخهای از Red Hat Enterprise Linux (RHEL) تحت تأثیر قرار نگرفته است. کاربران باید تا هنگام وجود امکانی جهت تغییر نسخه xz، فوراً استفاده از نسخههای آسیب دیده را متوقف سازند.
🔺Debian Linux: هیچ نسخه پایداری از توزیع تحت تأثیر قرار نگرفته است، اما پکیجهای در معرض خطر بخشی از نسخههای آزمایشی، ناپایدار و آزمایشی بودند. لازم است کاربران xz-utils را به روز کنند.
🔺Kali Linux: اگر سیستمها بین ۷ تا ۱۰ فروردین (۲۶ الی ۲۹ مارس) بهروزرسانی شدهاند، نیاز به بهروزرسانی مجدد جهت رفع مشکل میباشد. در صورتی که آخرین آپدیت Kali پیش از ۷ فروردین باشد، تحت تأثیر این درب پشتی قرار نمیگیرد.
🔺SUSE: به روزرسانی برای openSUSE (Tumbleweed یا MicroOS) در دسترس است.
راهکارهای مقابله در برابر این نقص
چند مرحله به شرح موارد زیر وجود دارد که توصیه میشود جهت محافظت از سیستم خود در برابر آسیبپذیری CVE-2024-3094 انجام دهید:
1️⃣ شناسایی سیستمهای آسیب دیده: مشخص کنید که آیا نسخههای آسیب دیده xz یا xz-utils (5.6.0 و 5.6.1) را روی سیستم خود نصب کردهاید یا خیر؟! با اجرای دستور زیر از نسخه xz خود مطلع شده و در صورت استفاده از نسخههای (5.6.0 و 5.6.1)، نسبت به Downgrade به نسخههای امن (به xz 5.4.x) تا زمان ارائه بروز رسانی معتبر اقدام نمایید.
xz -V (xz --version)
2️⃣ سیستمهای بالقوه در معرض خطر را جایگزین کنید: در صورت امکان، هاستها و کانتینرهای دارای نسخه بالقوه مخرب باید از مدار خارج و در صورتی که در معرض خطر قرار گرفتهاند، جایگزین شوند.
3️⃣ نظارت و توجه ویژه بهروزرسانیها: حتما به بهروزرسانیهای سازندگان نرمافزار و توصیههای امنیتی آن توجه کنید، چرا که آخرین اطلاعات و توصیهها را به منظور کاهش خطر ارائه خواهند کرد.
4️⃣ استفاده از ابزارهای امنیتی: از ابزارهای امنیتی برای بررسی وجود کانتینرهایی با هر نسخه 5.6 از xz util استفاده کنید.
CISA همچنین به توسعهدهندگان و کاربران هشدار داد که به نسخه XZ غیرقابل نفوذ (یعنی 5.4.6 Stable) تنزل داده و هرگونه فعالیت مخرب یا مشکوک را در سیستمهای خود جستجو و بررسی کنند.