-
09/04/2020
-
85
-
554 bài viết
Cảnh báo backdoor trong công cụ XZ được sử dụng hầu hết ở các bản phân phối Linux
Red Hat đã cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils.
Kỹ sư phần mềm của Microsoft đã phát hiện ra lỗ hổng khi điều tra các lần đăng nhập SSH chậm trên hộp Linux chạy Debian Sid (Phiên bản phát triển cập nhật liên tục của bản phân phối Debian). Tuy nhiên, kỹ sư vẫn chưa tìm ra mục đích chính xác của mã độc được thêm vào phiên bản XZ 5.6.0 và 5.6.1 .
Ban đầu việc khởi động sshd bên ngoài hệ thống không cho thấy tình trạng chậm lại, mặc dù backdoor được kích hoạt trong thời gian ngắn. Điều này như là một trong số biện pháp đối phó của tin tặc khiến việc phân tích trở nên khó khăn hơn.
Mã độc bị xáo trộn và tìm thấy trong gói tải xuống của các phiên bản XZ trên, sau đó kích hoạt quá trình xây dựng backdoor. Ở các phiên bản nhiễm mã độc gây cản trở việc xác thực trong sshd thông qua systemd và có thể cho phép kẻ tấn công phá vỡ xác thực sshd và giành quyền truy cập trái phép vào toàn bộ hệ thống từ xa.
Hiện Red Hat đang theo dõi lỗ hổng chuỗi cung ứng này với tên CVE-2024-3094, đánh giá điểm CVSS là 10/10. Đây là hình thức tấn công chuỗi cung ứng với mức độ nghiêm trọng cao và chưa có thông tin về bản vá.
Các chuyên gia cũng đã đưa ra cảnh báo cho các nhà phát triển và người dùng nên sử dụng phiên bản XZ 5.4.6 và kiểm tra lại hệ thống.
Kỹ sư phần mềm của Microsoft đã phát hiện ra lỗ hổng khi điều tra các lần đăng nhập SSH chậm trên hộp Linux chạy Debian Sid (Phiên bản phát triển cập nhật liên tục của bản phân phối Debian). Tuy nhiên, kỹ sư vẫn chưa tìm ra mục đích chính xác của mã độc được thêm vào phiên bản XZ 5.6.0 và 5.6.1 .
Ban đầu việc khởi động sshd bên ngoài hệ thống không cho thấy tình trạng chậm lại, mặc dù backdoor được kích hoạt trong thời gian ngắn. Điều này như là một trong số biện pháp đối phó của tin tặc khiến việc phân tích trở nên khó khăn hơn.
Mã độc bị xáo trộn và tìm thấy trong gói tải xuống của các phiên bản XZ trên, sau đó kích hoạt quá trình xây dựng backdoor. Ở các phiên bản nhiễm mã độc gây cản trở việc xác thực trong sshd thông qua systemd và có thể cho phép kẻ tấn công phá vỡ xác thực sshd và giành quyền truy cập trái phép vào toàn bộ hệ thống từ xa.
Hiện Red Hat đang theo dõi lỗ hổng chuỗi cung ứng này với tên CVE-2024-3094, đánh giá điểm CVSS là 10/10. Đây là hình thức tấn công chuỗi cung ứng với mức độ nghiêm trọng cao và chưa có thông tin về bản vá.
Các chuyên gia cũng đã đưa ra cảnh báo cho các nhà phát triển và người dùng nên sử dụng phiên bản XZ 5.4.6 và kiểm tra lại hệ thống.
Chỉnh sửa lần cuối: