En fin de semaine dernière, la découverte d’une vulnérabilité critique CVE-2024-3094 a ébranlé la communauté Linux. Du code malveillant a été identifié dans les versions 5.6.0 et 5.6.1 de XZ Utils qui est un ensemble d’outils de compression de données très répandu sur les distributions Linux.
La trouvaille fortuite émane d’un développeur de Microsoft travaillant sur des offres PostgreSQL. À l’origine, Andres Freund avait constaté des problèmes de performance avec un système Debian (Sid ; instable) et le protocole SSH. Il a finalement mis au jour une compromission de la chaîne d’approvisionnement.
Une backdoor a été intégrée dans XZ Utils. Selon Red Hat, elle permet dans certaines circonstances à un attaquant de casser l’authentification sshd et d’obtenir un accès non autorisé à l’ensemble du système à distance. Il n’y a toutefois pas de signalement d’une exploitation active.
Plus de peur que de mal ?
Le dépôt XZ a été désactivé par GitHub qui évoque une violation de ses conditions d’utilisation. La porte dérobée serait l’œuvre d’une préparation au long cours d’un mainteneur du projet Tukaani et se présentant sous l’identité de JiaT75 (Jia Tan).
Agence de cybersécurité américaine, la CISA (Cybersecurity and Infrastructure Security Agency) recommande aux développeurs et aux utilisateurs de rétrograder XZ Utils vers une version non compromise, comme la version stable 5.4.6.
Le pire a néanmoins sans doute été évité. A priori, la grande majorité des distributions Linux affectées sont en développement ou non stables. Les branches stables s’appuient sur des versions plus anciennes de XZ Utils.
Des leçons devront être tirées
La présence de la vulnérabilité CVE-2024-3094 peut être détectée en utilisant des règles Yara. Une telle péripétie amène légitimement à s’interroger sur de futures actions en entreprendre pour éviter qu’elle ne se reproduise à l’avenir.