PinewoFor English, see below.
BeschrijvingEr is een backdoor (CVE-2024-3094) aangetroffen in de Linux liblzma-bibliotheek (onderdeel van het “XZ Utils” package) voor het comprimeren en decomprimeren van data. Hoewel deze bibliotheek standaard onderdeel uitmaakt van veel Linux-distributies, lijkt het erop dat de backdoored versie hiervan niet verder is gekomen dan de “unstable”, “test”, “rolling” en “experimental” releases van Linux-distributies. Dit is te danken aan het feit dat de backdoor vroegtijdig werd ontdekt door PostgreSQL-ontwikkelaar Anders Freund. De backdoor maakt het mogelijk om, via de OpenSSH-service op een Linux-systeem, op afstand willekeurige code uit te voeren door gebruik te maken van een, door de aanvaller gegenereerde, digitale sleutel. De backdoor lijkt na een lange voorbereiding op 24 Februari 2024 geïntroduceerd in de broncode van deze bibliotheek, waarna de ontwikkelaar van de programmatuur (“Jia Tan”) en meerdere personages hebben geprobeerd om deze wijziging zo snel als mogelijk op te laten nemen in de productieversies (“stable” releases) van populaire Linux-distributies zoals Ubuntu en Fedora. Gelukkig is dit dus niet gelukt waardoor de daadwerkelijke impact van de backdoor hiermee beperkt lijkt. Het roept echter wel vragen op m.b.t. andere wijzigingen (“commits”) die Jia Tan over de afgelopen jaren heeft voorgesteld en doorgevoerd in open source producten zoals XZ Utils en libarchive. Deze wijzigingen worden op dit moment door veel ontwikkelaars onderzocht en, waar verdacht, weer teruggedraaid. Kwetsbare versiesDe backdoor bevindt zich in de versies 5.6.0 en 5.6.1 van liblzma. Deze versies zijn door Linux-distributies niet opgenomen in productie/stable releases van deze platformen. Volgens de laatste informatie bevatten onderstaande Linux-distributies genoemde versies:
Oplossingen en tijdelijke mitigatiesDe kans dat een organisatie gebruikmaakt van één van bovenstaande Linux-versies die daarnaast ook nog eens internet exposed is via de SSH-service achten wij niet groot. Mocht dit wél het geval zijn, dan is het van belang om het systeem zo snel als mogelijk te isoleren. Volg daarna de aanwijzingen van de betreffende leverancier op. DetectieOm te verifiëren óf een systeem gebruikmaakt van een backdoored versie van de genoemde bibliotheek hebben de makers van Kali een script beschikbaar gesteld waarmee dit eenvoudig is vast te stellen [6]. Mocht u twijfelen of een systeem de backdoor bevat, maak dan gebruik van dit script om dit vast te stellen. Door de manier waarop de backdoor is ingebouwd, is het voor zover nu bekend niet mogelijk om geraakte systemen via netwerkscanners te inventariseren. Meer informatie[1] https://www.kali.org/blog/about-the-xz-backdoor/ [2] https://news.opensuse.org/2024/03/29/xz-backdoor/ [3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users [4] https://lists.debian.org/debian-security-announce/2024/msg00057.html [5] https://archlinux.org/news/the-xz-package-has-been-backdoored/ [6] https://www.kali.org/blog/xz-backdoor-getting-started/ [7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 [8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor [10] https://access.redhat.com/security/cve/CVE-2024-3094 [11] https://tukaani.org/xz-backdoor/ [12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor [13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/ [14] https://github.com/Midar/xz-backdoor-documentation/wiki [16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/ VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.
===== ENGLISH ===== DescriptionA backdoor (CVE-2024-3094) was found in the liblzma Linux library (part of the XZ Utils package), used to compress and decompress data. Although this library is used in many Linux distributions, the backdoored version of it has “only” reached the unstable, test, rolling and experimental releases of these distributions. Early detection of the backdoor by PostgreSQL developer Anders Freud has prevented the acceptance of the backdoor in stable releases. The backdoor allows the threat actor to compromise a system by calling the OpenSSH service using a preconfigured digital key. The backdoor was introduced in the package on 24 February 2024 after a long time of preparation. Shortly after releasing the backdoor, the developer (“Jia Tan”) and multiple other personas tried to introduce the backdoor as soon as possible in the production (stable) versions of popular Linux distributions such as Ubuntu and Fedora. Luckily, this has not proven to be successful which limits the impact of this incident. It does however raise questions about other changes that Jia Tan has initiated over the years in open source products such as XZ Utils and libarchive. These changes are currently reviewed by many developers and, where appropriate, reverted. Vulnerable versionsThe backdoor is built into liblzma versions 5.6.0 and 5.6.1. The versions were not accepted into the stable releases of Linux distributions. According to the latest information, the Linux distributions below are known to have used these versions:
Solutions and workaroundsWe consider the chances low that organisations run one of the Linux distributions mentioned before on a system that is also exposing its SSH service towards the internet. If this is however the case, it is of upmost importance to isolate the system as soon as possible. Next, follow the instructions as given by the respective vendor. DetectionTo verify if a system is using a backdoored version of the library, the developers of Kali have created a script that will allow you to quickly determine this [6]. If you’re unsure whether or not a backdoored version of the library is in use on a system, we advise you to run this script. Due to the way the backdoor is built, we do not know of any network scanner that is able to determine impacted systems by running a network scan. More information[1] https://www.kali.org/blog/about-the-xz-backdoor/ [2] https://news.opensuse.org/2024/03/29/xz-backdoor/ [3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users [4] https://lists.debian.org/debian-security-announce/2024/msg00057.html [5] https://archlinux.org/news/the-xz-package-has-been-backdoored/ [6] https://www.kali.org/blog/xz-backdoor-getting-started/ [7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 [8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor [10] https://access.redhat.com/security/cve/CVE-2024-3094 [11] https://tukaani.org/xz-backdoor/ [12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor [13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/ [14] https://github.com/Midar/xz-backdoor-documentation/wiki [16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/ QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |