S'inscrire

Cybersécurité - 04/04/2024

Le code malveillant dans XZ Utils pour les systèmes Linux permet l’exécution de code à distance

Le code malveillant inséré dans la bibliothèque open source XZ Utils, un package largement utilisé présent dans les principales distributions Linux, est également capable de faciliter l’exécution de code à distance, a révélé une nouvelle analyse.

La compromission audacieuse de la chaîne d’approvisionnement, identifiée comme CVE-2024-3094 (score CVSS : 10,0), a été révélée la semaine dernière lorsque l’ingénieur Microsoft et développeur PostgreSQL, Andres Freund, a alerté de la présence d’une porte dérobée dans l’utilitaire de compression de données qui donne aux attaquants distants une porte dérobée. moyen de contourner l’authentification Secure Shell et d’obtenir un accès complet à un système affecté.

“Je faisais des micro-analyses comparatives à l’époque, j’avais besoin de mettre le système au repos pour réduire le bruit”, a déclaré Freund dans un article partagé sur Mastodon. “Les processus Saw sshd utilisaient une quantité surprenante de CPU, malgré un échec immédiat en raison de noms d’utilisateur incorrects, etc.”

“Sshd profilé, montrant beaucoup de temps processeur dans liblzma, avec des performances incapables de l’attribuer à un symbole. Je me suis méfié. Je me suis souvenu que j’avais vu une étrange plainte de valgrind lors des tests automatisés de postgres, quelques semaines plus tôt, après des mises à jour de paquets.”

“Il a vraiment fallu beaucoup de coïncidences”, a ajouté Freund.

XZ Utils est un outil de ligne de commande permettant de compresser et de décompresser des données sous Linux et d’autres systèmes d’exploitation de type Unix.

Le code malveillant de la porte dérobée aurait été délibérément introduit par l’un des responsables du projet nommé Jia Tan (alias Jia Cheong Tan ou JiaT75) dans ce qui semble être une attaque méticuleuse s’étalant sur plusieurs années. Le compte utilisateur GitHub a été créé en 2021. L’identité du ou des acteurs est actuellement inconnue.

“L’acteur malveillant a commencé à contribuer au projet XZ il y a près de deux ans, construisant lentement sa crédibilité jusqu’à ce qu’on lui confie des responsabilités de mainteneur”, a déclaré Akamai dans un rapport.

Dans un autre acte d’ingénierie sociale intelligente, des comptes sockpuppet comme Jigar Kumar et Dennis Ens auraient été utilisés pour envoyer des demandes de fonctionnalités et signaler divers problèmes dans le logiciel afin de forcer le responsable d’origine – Lasse Collin du projet Tukaani à – pour ajouter un nouveau co-responsable au référentiel.

Entrez Jia Tan, qui a introduit une série de modifications dans XZ Utils en 2023, qui ont finalement abouti à la sortie de la version 5.6.0 en février 2024. Ils abritaient également une porte dérobée sophistiquée.

Utilitaires XZ pour Linux
Source : Thomas Roccia

“Comme je l’ai laissé entendre dans des courriels précédents, Jia Tan pourrait jouer un rôle plus important dans le projet à l’avenir”, a déclaré Collin lors d’un échange avec Kumar en juin 2022.

“Il a beaucoup aidé hors liste et est déjà pratiquement co-responsable. 🙂 Je sais qu’il ne s’est pas encore passé grand-chose dans le référentiel git, mais les choses se produisent par petites étapes. Dans tous les cas, un changement dans la responsabilité est déjà en cours au moins pour XZ Utils.”

La porte dérobée affecte les archives tar des versions XZ Utils 5.6.0 et 5.6.1, cette dernière contenant une version améliorée du même implant. Collins a depuis reconnu la violation du projet, déclarant que les deux archives tar avaient été créées et signées par Jia Tan et qu’elles n’avaient accès qu’au référentiel GitHub, désormais désactivé.

“Il s’agit clairement d’une opération très complexe parrainée par l’État, avec une sophistication impressionnante et une planification pluriannuelle”, a déclaré la société de sécurité des micrologiciels Binarly . “Un cadre d’implantation complet aussi complexe et conçu par des professionnels n’est pas développé pour une opération ponctuelle.”
Utilitaires XZ pour Linux
Un examen plus approfondi de la porte dérobée par le cryptographe open source Filippo Valsorda a également révélé que les versions concernées permettent à des attaquants distants spécifiques d’envoyer des charges utiles arbitraires via un certificat SSH qui seront exécutées de manière à contourner les protocoles d’authentification, prenant ainsi le contrôle de la victime. machine.

“Il semble que la porte dérobée soit ajoutée au démon SSH sur la machine vulnérable, permettant à un attaquant distant d’exécuter du code arbitraire”, a déclaré Akamai. “Cela signifie que toute machine dotée du package vulnérable qui expose SSH à Internet est potentiellement vulnérable.”

En d’autres termes, la porte dérobée permet à un attaquant distant disposant d’une clé privée prédéterminée de détourner le démon SSH afin d’exécuter des commandes malveillantes.

Il va sans dire que la découverte accidentelle par Freund est l’une des attaques de chaîne d’approvisionnement les plus importantes découvertes à ce jour et aurait pu constituer un grave désastre de sécurité si le package avait été intégré dans les versions stables des distributions Linux.

“La partie la plus remarquable de cette attaque de chaîne d’approvisionnement est le niveau extrême de dévouement de l’attaquant, travaillant plus de deux ans pour s’établir comme un mainteneur légitime, proposant de reprendre du travail dans divers projets OSS et validant du code sur plusieurs projets afin pour éviter d’être détecté”, a déclaré JFrog .

Comme dans le cas d’Apache Log4j , l’incident met une fois de plus en évidence la dépendance à l’égard de logiciels open source et de projets gérés par des bénévoles, ainsi que les conséquences que cela pourrait entraîner s’ils étaient compromis ou présentaient une vulnérabilité majeure.

“La plus grande solution consiste pour les organisations à adopter des outils et des processus qui leur permettent d’identifier les signes de falsification et les fonctionnalités malveillantes dans le code open source et commercial utilisé dans leur propre pipeline de développement”, a déclaré ReversingLabs .

Sujets récents