RedHat Cuma günü, popüler bir veri sıkıştırma kütüphanesinin iki sürümünün çağrıldığına dair bir “acil güvenlik uyarısı” uyarısı yayınladı. XZ Yardımcı Programları (önceki adıyla LZMA Utils), yetkisiz uzaktan erişime izin verecek şekilde tasarlanmış kötü amaçlı kodla arka kapıyla kapatılmıştır.
Yazılım tedarik zinciri uzlaşması şu şekilde izlenir: CVE-2024-3094, maksimum ciddiyeti gösteren 10.0 CVSS puanına sahiptir. XZ Utils’in 5.6.0 (24 Şubat’ta yayınlandı) ve 5.6.1 (9 Mart’ta yayınlandı) sürümlerini etkiliyor.
IBM’in yan kuruluşu, “Bir dizi karmaşık karmaşıklaştırma yoluyla, liblzma oluşturma işlemi, kaynak kodunda mevcut olan gizlenmiş bir test dosyasından önceden oluşturulmuş bir nesne dosyasını çıkarır ve bu daha sonra liblzma kodundaki belirli işlevleri değiştirmek için kullanılır.” söz konusu bir danışma belgesinde.
“Bu, bu kütüphaneye bağlı herhangi bir yazılım tarafından kullanılabilen, bu kütüphaneyle veri etkileşimini yakalayan ve değiştiren, değiştirilmiş bir liblzma kütüphanesiyle sonuçlanır.”
Spesifik olarak, kodun içine eklenen hain kod: tasarlanmış aracılığıyla SSH (Güvenli Kabuk) için sshd arka plan süreci sürecine müdahale etmek sistemd yazılım paketi ve potansiyel olarak bir tehdit aktörünün sshd kimlik doğrulamasını kırmasına ve “doğru koşullar altında” sisteme uzaktan yetkisiz erişim sağlamasına olanak tanır.
Microsoft güvenlik araştırmacısı Andres Freund, Cuma günü sorunu keşfedip bildirdiği için itibar kazandı. Oldukça karmaşık hale getirilmiş kötü amaçlı kodun, dört işlemden oluşan bir dizi aracılığıyla tanıtıldığı söyleniyor. Tukaani Projesi GitHub’da JiaT75 adlı bir kullanıcı tarafından.
Freund, “Birkaç hafta boyunca süren faaliyet göz önüne alındığında, taahhüt eden kişi ya doğrudan işin içindedir ya da sistemlerinde oldukça ciddi bir tehlike söz konusudur.” söz konusu. “Maalesef ikincisi, ‘düzeltmeler’ hakkında çeşitli listelerde iletişim kurdukları göz önüne alındığında, daha az olası bir açıklama gibi görünüyor.”
Microsoft’un sahibi olduğu GitHub o zamandan beri XZ Utils deposunu devre dışı bıraktı Tukaani Projesi tarafından “GitHub’ın hizmet şartlarının ihlali nedeniyle” sürdürülüyor. Şu anda vahşi doğada aktif sömürüye ilişkin herhangi bir rapor bulunmamaktadır.
Kanıtlar, paketlerin yalnızca Fedora 41 ve Fedora Rawhide’da mevcut olduğunu ve Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linuxve SUSE Linux Enterprise ve Leap.
Fedora Linux 40 kullanıcılarına çok dikkatli bir şekilde 5.4 sürümüne geçmeleri önerildi. Tedarik zinciri saldırısından etkilenen diğer Linux dağıtımlarından bazıları aşağıdadır:
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bir rapor yayınlamasına yol açtı. uyarı kendi başına, kullanıcıları XZ Utils’in sürümünü ödünsüz bir sürüme (örneğin, XZ Utils 5.4.6 Stable) düşürmeye teşvik ediyor.
