Чем опасен вредоносный код в дистрибутивах Linux: поясняют эксперты «Лаборатории Касперского»

Неизвестные злоумышленники встроили вредоносный код в некоторые дистрибутивы Linux, в набор утилит для компрессии с открытым исходным кодом XZ Utils версий 5.6.0 и 5.6.1. Как сообщает «Лаборатория Касперского», утилиты с бэкдором успели попасть в несколько популярных мартовских сборок Linux, и данную закладку можно расценивать как атаку на цепочку поставок. Уязвимости был присвоен номер CVE-2024-3094.

Эксперты компании поясняют, что изначально различные исследователи утверждали, что бэкдор позволяет злоумышленникам обойти аутентификацию sshd, серверного процесса OpenSSH, и удаленно получить несанкционированный доступ к операционной системе. Однако судя по последней информации данную уязвимость следует относить не к классу «обход аутентификации», а к классу «удаленное выполнение кода» (RCE). Бэкдор перехватывает функцию RSA_public_decrypt, проверяет подпись хоста с использованием фиксированного ключа Ed448 и, в случае успешной проверки, через функцию system() выполняет вредоносный код, переданный хостом, не оставляя следов в логах sshd.

Точно известно, что XZ Utils версий 5.6.0 и 5.6.1 попали в мартовские сборки следующих дистрибутивов Linux:

• Kali Linux, но по информации официального блога, только доступные между 26 и 29 марта (в блоге также содержатся инструкции по проверке на наличие уязвимой версии утилит);·        openSUSE Tumbleweed и openSUSE MicroOS, доступные с 7 по 28 марта;
• Fedora 41, Fedora Rawhide и Fedora Linux 40 beta;
• Debian (тестовые, нестабильные и экспериментальные версии);
•  Arch Linux – образы контейнеров, доступные начиная с 29 февраля и заканчивая 29 марта. Впрочем, на сайте archlinux.org говорится, что из-за особенностей имплементации данный вектор атаки в Arch Linux работать не будет, однако все-таки настоятельно рекомендуют обновить систему.

Не уязвимы, по официальной информации, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap, Debian Stable. Остальные дистрибутивы имеет смысл самостоятельно проверять на наличие в них троянизированных версий XZ Utils.

Эксперты полагают, что вредоносный код попал в утилиты следующим образом. По всей видимости произошла стандартная история с передачей контроля над репозиторием на GitHub. Человек, изначально поддерживавший проект XZ Libs передал контроль аккаунту, который уже несколько лет контрибьютил в ряд репозиториев, связанных со сжатием данных. А тот, в какой-то момент, добавил в код проекта бэкдор.

Агентство по кибербезопасности и защите инфраструктуры США рекомендует всем обновившим затронутые операционные систем в марте незамедлительно перейти к использованию более ранней версии XZ Utils (например, к версии 5.4.6). А также заняться поиском вредоносной активности.

Если был установлен дистрибутив с уязвимой версией, имеет смысл сменить учетные данные, которые потенциально могли быть добыты злоумышленниками из системы.

Выявить факт наличия уязвимости можно при помощи Yara-правила для CVE-2024-3094.

При наличии подозрения, что злоумышленники получили доступ к инфраструктуре компании,  рекомендуется воспользоваться сервисом Kaspersky Compromise Assessment для выявления признаков компрометации.