Analyse CVE-2024-3094 : Attaque de la chaîne d’approvisionnement multi-niveaux utilisant une porte dérobée XZ Utils impacte les principales distributions Linux
Table des matières :
Les experts en cybersécurité restent vigilants face à une attaque de la chaîne d’approvisionnement en cours qui a jeté une ombre sur les distributions Linux les plus utilisées. Avec son envergure et sa sophistication rappelant des incidents tristement célèbres tels que Log4j and SolarWinds, cette nouvelle menace émane d’un XZ Utils contenant une porte dérobée (anciennement LZMA Utils) — un utilitaire de compression de données essentiel présent dans pratiquement toutes les grandes distributions Linux. Pour attirer l’attention sur cette menace révolutionnaire, la sournoise porte dérobée a été assignée à un identifiant de vulnérabilité CVE-2024-3094 avec une cote de gravité de 10.0.
Porte dérobée XZ Utils : Attaque de la chaîne d’approvisionnement Linux
Un compromis critique de la chaîne d’approvisionnement logicielle implique deux versions de la bibliothèque de compression de données XZ Utils largement utilisées, qui ont été furtivement dotées de portes dérobées. La porte dérobée permet à des adversaires distants de contourner l’authentification du shell sécurisé (sshd), leur accordant un accès complet aux systèmes affectés. Cette attaque méticuleusement exécutée, sur plusieurs années, suggère qu’un individu avec un accès de niveau mainteneur a délibérément introduit la porte dérobée.
Andres Freund, ingénieur logiciel chez Microsoft, qui a détecté la mauvaise configuration suspecte fin mars, affirme que des chaînes malveillantes ont été injectées dans le pack de téléchargement tarball de la version 5.6.0 de XZ Utils publiée en février 2024. Peu de temps après, dans la version 5.6.1, les acteurs malveillants ont mis à jour le code malveillant pour l’améliorer avec une obfuscation supplémentaire et corriger certaines erreurs de configuration.
Freund déclare que le code malveillant a été furtivement intégré par une série de commits de code source dans le Projet Tukaani sur GitHub par un individu identifié comme Jia Tan (JiaT75) au début de cette année. Le dépôt XZ Utils du Projet Tukaani sur GitHub a déjà été désactivé en raison de violations.
À ce jour, les versions affectées de XZ Utils sont exclusivement apparues dans des éditions instables et bêta de Fedora, Debian, Kali, openSUSE, et Arch Linux distribuées. Debian et Ubuntu ont confirmé qu’aucune de leurs versions stables ne contient les packages compromis, assurant la sécurité des utilisateurs. De plus, Amazon Linux, Alpine Linux, Gentoo Linux et Linux Mint ont affirmé ne pas être affectés par l’incident de la porte dérobée.
XZ Utils sert de composant critique non seulement au sein de nombreuses distributions Linux mais aussi comme une dépendance fondamentale pour diverses bibliothèques. Les implications de cette attaque de la chaîne d’approvisionnement se propagent largement à travers l’écosystème logiciel. Cependant, étant donné que la porte dérobée n’a pas percé dans une distribution Linux stable, les conséquences possibles sont considérablement limitées.
Atténuation CVE-2024-3094 : Réduction des risques liés à la porte dérobée XZ Utils
Chaque avis (mentionnés ci-dessus) fourni par les mainteneurs des principales distributions Linux contient des conseils pour permettre aux utilisateurs de détecter rapidement la présence des versions compromises de XZ Utils dans leurs bases de code. Red Hat a pris des mesures proactives en publiant une mise à jour qui revient aux versions précédentes de XZ, avec l’intention de la distribuer par ses canaux de mises à jour standards. Cependant, les utilisateurs inquiets des attaques potentielles ont la possibilité d’accélérer le processus de mise à jour.
CISA a ajouté sa voix à l’appel aux organisations utilisant les distributions Linux impactées pour revenir à une version antérieure de leurs XZ Utils. Ils soulignent l’importance de rechercher méticuleusement toute trace d’activité suspecte liée à la porte dérobée et de partager rapidement leurs découvertes avec la communauté de la cybersécurité.
En résumé, la routine d’atténuation devrait inclure les éléments de base suivants :
- Réduire (ou mettre à jour) les packages XZ Utils à une version sécurisée basée sur l’avis pertinent ;
- Bloquer l’accès SSH externe ;
- Segmentation du réseau.
De plus, pour aider les défenseurs cyber à repérer une activité malveillante potentielle liée à l’exécution de la porte dérobée XZ, l’équipe SOC Prime avec Arnim Rupp, Nasreddine Bencherchali, et Thomas Patzke ont fourni des règles Sigma associées disponibles sur la plate-forme SOC Prime.
Exploitation potentielle de CVE-2024-3094 – Processus enfant SSH suspect
Les deux règles aident à détecter un processus enfant potentiellement suspect de SSH (sshd) avec un utilisateur spécifique pouvant être lié au CVE-2024-3094. Les règles sont compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake et enrichies avec des renseignements sur les menaces.
La plate-forme de SOC Prime pour la défense cyber collective offre la plus grande collection mondiale d’algorithmes de détection basée sur le comportement pour détecter les TTP des attaquants, soutenue par des solutions innovantes de chasse aux menaces et d’ingénierie de détection créées pour rationaliser les opérations SOC. Prenez de l’avance sur les attaquants et détectez proactivement les menaces notoires grâce à SOC Prime. Découvrez plus sur https://socprime.com/.
