شرکت Red Hat به کاربران ابزار فشردهسازی XZ Utils هشدار داد که استفاده از سیستمهای مجهز به نسخه آزمایشی و مخصوص توسعهدهندگان Fedora را متوقف کنند، زیرا یک Back door در آخرین نسخه این ابزار و کتابخانههای آن کشف شده است. این شرکت در هشداری فوری اعلام کرد که استفاده از FEDORA 41 یا FEDORA RAWHIDE را برای استفادههای کاری و شخصی متوقف نمایید. هیچکدام از نسخههای Red Hat Enterprise Linux (RHEL) تحت تاثیر آسیبپذیری مذکور قرار نگرفتهاند. گزارشها و شواهدی مبنی بر تزریق موفق کد مخرب در نسخههای 5.6.x از XZ برای Debian unstable (Sid) دریافت شده است و سایر توزیعهای لینوکس هم ممکن است تحت تاثیر قرار گرفته باشند. هیچ یک از نسخههای stable از Debian به نسخههای مخرب XZ آلوده نشدهاند. این آسیبپذیری توسط یکی از مهندسین نرمافزار شرکت مایکروسافت هنگام تحقیق بر روی علت ورود کند با استفاده از SSH به یک سیستم لینوکسی با توزیع Debian Sid کشف شده که نسخه مخصوص توسعهدهندگان میباشد. این Back door میتواند به مهاجمان در دور زدن فرایند احراز هویت SSH کمک کند و دسترسی غیر مجاز به کل سیستم را از طریق SSH فراهم نماید.
این آسیبپذیری با شناسه CVE-2024-3094 و شدت بحرانی 10 شناسایی شده است که از نوع زنجیره تأمین (supply chain) میباشد.
توصیههای امنیتی
• از نسخههای آزمایشی سیستم عامل لینوکس استفاده نکنید و تنها از نسخههای stable استفاده نمایید.
• با اجرای دستور xz -V در محیط ترمینال نسخه XZ را چک کنید؛ اگر نسخه 5.60 یا 5.61 باشد باید سریعاً به نسخههای قدیمی downgrade نمایید. نسخه 5.4.6 Stable آخرین نسخه دستکاری نشده میباشد.
• در صورت کشف نسخه آسیبپذیر بر روی سیستم به دنبال فعالیتهای مشکوک بر روی سیستم بگردید و Threat hunting انجام دهید.
منابع خبر:
[1]https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-l…
[2]https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-3094
- 51