روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ عوامل ناشناس کد مخربی را در نسخه‌های  5.6.0 و  5.6.1 مجموعه ابزار فشرده‌سازی متن باز XZ Utils قرار داده‌اند. بدتر اینکه، ابزارهای تروجان‌زده تصمیم دارند در ماه مارسی که خواهد آمد راه خود را به چندین سازه محبوب لینوکسی باز کنند و همین رخداد می‌تواند زنجیره تأمین تلقی شود. این آسیب‌پذیری کد CVE-2024-3094 را دریافت کرده است. با ما همراه باشید تا ماجرا را مورد بررسی قرار دهیم.

چه چیزی این ایمپلنت مخرب را خطرناک می‌کند؟

ابتدا محققین مختلف ادعا کردند این بک‌در به مهاجمین اجازه داده احراز هویت sshd (فرآیند سرور OpenSSH) را دور بزنند و از راه دور به سیستم‌عامل دسترسی غیرقانونی داشته باشند. با این حال با قضاوت آخرین اطلاعات، این آسیب‌پذیری نباید «دور زدن احراز هویت» شناخته شود بلکه این یک اجرای کد ریموت (RCE) است. بک‌در تابع RSA_public_decrypt را رهگیری می‌کند، امضای میزبان را با استفاده از کلید ثابت Ed448 تأیید  و در صورت تأیید موفقیت‌آمیز، کد مخرب ارسال شده توسط میزبان از طریق تابع  system() را اجرا کرده و هیچ ردی از خود در گزارش‌های sshd باقی نمی‌گذارد.

کدام توزیع لینوکس حاوی ابزارهای مخرب است و کدام امن است؟

مشخص است که XZ Utils نسخه‌های 5.6.0 و 5.6.1 در بیلدهای مارس توزیع‌های لینوکس زیر گنجانده شده‌اند:

کالی لینوکس. اما، طبق وبلاگ رسمی، فقط آنهایی که بین 26 مارس و 29 مارس در دسترس بودند (وبلاگ همچنین حاوی دستورالعمل هایی برای بررسی نسخه‌های آسیب پذیر این اپ است).

openSUSE Tumbleweed و openSUSE MicroOS، در دسترس از 7 مارس تا 28 مارس.

فدورا 41، فدورا راوید و فدورا لینوکس 40 بتا؛

دبیان (فقط توزیع های آزمایشی، ناپایدار و آزمایشی)؛

Arch Linux -تصاویر کانتینر از 29 فوریه تا 29 مارس در دسترس است. با این حال، وبسایت archlinux.org بیان می‌کند که به دلیل ویژگی‌های پیاده‌سازی آن، این بردار حمله در Arch Linux کار نمی‌کند، اما آنها همچنان قویاً به روزرسانی سیستم را توصیه می‌کنند.

بر اساس اطلاعات رسمی، Red Hat Enterprise Linux (RHEL)، SUSE Linux Enterprise openSUSE Leap, و  Debian Stable آسیب‌پذیر نیستند. در مورد توزیع‌های دیگر هم توصیه می‌شود به طوردستی موجود بودن نسخه‌های تروجان‌زده XZ Utils را بررسی کنید.

چطور کد مخرب در  XZ Utils کاشته شد؟

ظاهراً این یک پرونده معمولی انتقال کنترل بود. فردی که ابتدا پروژه XZ Libs را روی گیت‌هاب حفظ می‌کرد، کنترل مخزن را به اکانتی منتقل کرد که سال‌ها بود به تعدادی مخزن مرتبط با فشرده‌سازی داده کمک می‌داد. و در نقطه‌ای، شخصِ پشت آن حساب دیگر یک بک‌در را در کد پروژه کاشت.

اپیدمیِ تقریباً از دست‌رفته‌ای که هرگز اتفاق نیافتاد

به نقل از Igor Kuznetsov رئیس تیم GReAT ما، اکسپلویت CVE-2024-3094 بالقوه می‌تواند بزرگ‌ترین مقیاس حمله روی اکوسیستم لینوکس در کل تاریخش باشد. دلیل هم این است که از ابتدا هدفش سرورهای SSH بودند- ابزار اصلی مدیریت ریموت همه سرورهای لینوکس در اینترنت. اگر به توزیع‌های پایدار ختم می‌شد، احتمالاً شاهد تعداد زیادی هک سرور بودیم. با این حال، خوشبختانه، CVE-2024-3094 در توزیع‌های آزمایشی و رول - جایی که از آخرین بسته‌های نرم افزاری استفاده می‌شود، مورد توجه قرار گرفت. بدین‌معنا که اکثر کاربران لینوکس در امان ماندند. تاکنون هیچ موردی از CVE-2024-3094 که واقعاً مورد سوء استفاده قرار گرفته باشد را شناسایی نکرده‌ایم.

چطور ایمن بمانیم؟

CISA (آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده) به هر کسی که سیستم‌عامل‌های آسیب‌دیده را در ماه مارس نصب یا به روز کرده است توصیه می‌کند که فوراً XZ Utils را به نسخه قبلی (مثلاً نسخه 5.4.6) تنزل دهند. و همچنین شروع کنند به جستجوی فعالیت‌های مخرب. اگر با نسخه‌ی آسیب‌پذیر XZ Utils توزیع را نصب کردید همچنین عقل حکم می‌دهد همه اطلاعاتی را که بالقوه می‌توانستند توسط عاملین تهدید از سیستم سرقت شوند عوض کنید. می‌توانید با استفاده از قانون YARA برای CVE-2024-3094 حضور این آسیب‌پذیری را شناسایی کنید. اگر شک دارید عامل تهدید ممکن است به زیرساخت شرکت شما دست پیدا کرده باشد توصیه می‌کنیم برای کشف هر حمله‌ای که قبل شده یا دارد می‌شود از سرویس Kaspersky Compromise Assessment ما استفاده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.