Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – Backdoor found in XZ Utils (CVE-2024-3094)

PinewoFor English, see below.

Beschrijving

Er is een backdoor (CVE-2024-3094) aangetroffen in de Linux liblzma-bibliotheek (onderdeel van het “XZ Utils” package) voor het comprimeren en decomprimeren van data. Hoewel deze bibliotheek standaard onderdeel uitmaakt van veel Linux-distributies, lijkt het erop dat de backdoored versie hiervan niet verder is gekomen dan de “unstable”, “test”, “rolling” en “experimental” releases van Linux-distributies. Dit is te danken aan het feit dat de backdoor vroegtijdig werd ontdekt door PostgreSQL-ontwikkelaar Anders Freund.

De backdoor maakt het mogelijk om, via de OpenSSH-service op een Linux-systeem, op afstand willekeurige code uit te voeren door gebruik te maken van een, door de aanvaller gegenereerde, digitale sleutel. De backdoor lijkt na een lange voorbereiding op 24 Februari 2024 geïntroduceerd in de broncode van deze bibliotheek, waarna de ontwikkelaar van de programmatuur (“Jia Tan”) en meerdere personages hebben geprobeerd om deze wijziging zo snel als mogelijk op te laten nemen in de productieversies (“stable” releases) van populaire Linux-distributies zoals Ubuntu en Fedora. Gelukkig is dit dus niet gelukt waardoor de daadwerkelijke impact van de backdoor hiermee beperkt lijkt. Het roept echter wel vragen op m.b.t. andere wijzigingen (“commits”) die Jia Tan over de afgelopen jaren heeft voorgesteld en doorgevoerd in open source producten zoals XZ Utils en libarchive. Deze wijzigingen worden op dit moment door veel ontwikkelaars onderzocht en, waar verdacht, weer teruggedraaid.

Kwetsbare versies

De backdoor bevindt zich in de versies 5.6.0 en 5.6.1 van liblzma. Deze versies zijn door Linux-distributies niet opgenomen in productie/stable releases van deze platformen. Volgens de laatste informatie bevatten onderstaande Linux-distributies genoemde versies:

  • Kali Linux, indien geüpdatet tussen 26 en 29 Maart 2024 [1];
  • openSUSE Tumbleweed en openSUSE MicroOS (beide “rolling” releases), releases tussen 7 en 28 Maart 2024 [2];
  • Fedora 41, Fedora Rawhide en Fedora Linux 40 beta [3];
  • Debian (testing, unstable en experimental distributies) [4];
  • Arch Linux, installatiemedium 2024.03.01, VM images 20240301.218094 en 20240315.221711, en container images die zijn aangemaakt tussen 24 februari 2024 en 28 maart 2024 [5]. Misbruik van de backdoor is hierbij echter niet mogelijk via (Open)SSH.

Oplossingen en tijdelijke mitigaties

De kans dat een organisatie gebruikmaakt van één van bovenstaande Linux-versies die daarnaast ook nog eens internet exposed is via de SSH-service achten wij niet groot. Mocht dit wél het geval zijn, dan is het van belang om het systeem zo snel als mogelijk te isoleren. Volg daarna de aanwijzingen van de betreffende leverancier op.

Detectie

Om te verifiëren óf een systeem gebruikmaakt van een backdoored versie van de genoemde bibliotheek hebben de makers van Kali een script beschikbaar gesteld waarmee dit eenvoudig is vast te stellen [6]. Mocht u twijfelen of een systeem de backdoor bevat, maak dan gebruik van dit script om dit vast te stellen.

Door de manier waarop de backdoor is ingebouwd, is het voor zover nu bekend niet mogelijk om geraakte systemen via netwerkscanners te inventariseren.

Meer informatie

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

A backdoor (CVE-2024-3094) was found in the liblzma Linux library (part of the XZ Utils package), used to compress and decompress data. Although this library is used in many Linux distributions, the backdoored version of it has “only” reached the unstable, test, rolling and experimental releases of these distributions. Early detection of the backdoor by PostgreSQL developer Anders Freud has prevented the acceptance of the backdoor in stable releases.

The backdoor allows the threat actor to compromise a system by calling the OpenSSH service using a preconfigured digital key. The backdoor was introduced in the package on 24 February 2024 after a long time of preparation. Shortly after releasing the backdoor, the developer (“Jia Tan”) and multiple other personas tried to introduce the backdoor as soon as possible in the production (stable) versions of popular Linux distributions such as Ubuntu and Fedora. Luckily, this has not proven to be successful which limits the impact of this incident. It does however raise questions about other changes that Jia Tan has initiated over the years in open source products such as XZ Utils and libarchive. These changes are currently reviewed by many developers and, where appropriate, reverted.

Vulnerable versions

The backdoor is built into liblzma versions 5.6.0 and 5.6.1. The versions were not accepted into the stable releases of Linux distributions. According to the latest information, the Linux distributions below are known to have used these versions:

  • Kali Linux, if updated between 26 and 29 March 2024 [1];
  • openSUSE Tumbleweed and openSUSE MicroOS (both “rolling” releases), releases between 7 and 28 March 2024 [2];
  • Fedora 41, Fedora Rawhide and Fedora Linux 40 beta [3];
  • Debian (testing, unstable and experimental distributions) [4];
  • Arch Linux, installation medium 2024.03.01, VM images 20240301.218094 and 20240315.221711, and container images created between 24 February 2024 and 28 March 2024 [5]. Exploitation of the backdoor via OpenSSH is however not possible.

Solutions and workarounds

We consider the chances low that organisations run one of the Linux distributions mentioned before on a system that is also exposing its SSH service towards the internet. If this is however the case, it is of upmost importance to isolate the system as soon as possible. Next, follow the instructions as given by the respective vendor.

Detection

To verify if a system is using a backdoored version of the library, the developers of Kali have created a script that will allow you to quickly determine this [6]. If you’re unsure whether or not a backdoored version of the library is in use on a system, we advise you to run this script.

Due to the way the backdoor is built, we do not know of any network scanner that is able to determine impacted systems by running a network scan.

More information

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl