VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#030-2024] [TLP:CLEAR] Bakdør i xz/liblzma på Linux (CVE-2024-3094)

30-03-2024

JustisCERT deler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC).

 


Varsel fra NCSC:

NCSC-pulsen heves til nivå tre (3): UMIDDELBAR FARE [1].

 

NCSC ønsker å varsle om en bakdør som har blitt introdusert i xz versjon 5.6.0 og 5.6.1 (CVE-2024-3094 med CVSS-score 10.0) på Linux [2][3]. Følgende distribusjoner av Linux ser ut til å være blant de berørte [4]:

  • Debian testing
  • Debian unstable
  • Fedora 40 (delvis [3])
  • Fedora 41
  • Fedora Rawhide
  • OpenSUSE Tumbleweed
  • Kali Rolling

 

NCSC anbefaler virksomheter som benytter ovennevnte distribusjoner av Linux å umiddelbart nedgradere xz til en versjon før 5.6.0 (f.eks. 5.4.6) [5], og oppdatere til en ny, sikker versjon av xz så snart den foreligger. Vi viser til de respektive distribusjonenes egne nettsider og e-postlister for slik informasjon. Dersom en ikke kan nedgradere xz eller oppdatere til en sikker versjon, anbefaler vi å minimum sørge for at berørte maskiner ikke kan nås over SSH fra internett, eller å ta berørte maskiner helt av internett frem til sikker tilstand kan gjenopprettes.

 

Det er foreløpig usikkerhet knyttet til nøyaktig hva bakdøren gjør og hva slags forutsetninger som kreves for utnyttelse, men den ondsinnede koden blir minimum kjørt ved autentisering over SSH mot et kompromittert system. Det er dog usikkert om dette åpner for en form for tilgang eller videre eksekvering av kode [3]. Det ser ut til at bakdøren ble oppdaget før eventuell distribusjon til Red Hat (RHEL), Ubuntu og Debian stable. I tillegg har NCSC informasjon om at bl.a. Alpine og Arch ikke er berørt på bakgrunn av manglene patching av openssh til å bruke libsystemd. Det ser også ut til at bakdøren kun fungerer på glibc-baserte systemer [2].

 

NCSC er ikke kjent med aktiv utnyttelse eller bruk av bakdøren, men forventer at dette kan endre seg i tiden fremover.

 

 

Referanser:
[1] https://nsm.no/puls
[2] https://www.openwall.com/lists/oss-security/2024/03/29/4
[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[4] https://repology.org/project/xz/versions
[5] https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094