Des chercheurs ont dcouvert une porte drobe malveillante dans un outil de compression qui sest infiltr dans des distributions Linux largement utilises, notamment celles de Red Hat et Debian. Lutilitaire de compression, connu sous le nom de xz Utils, a introduit le code malveillant dans ses versions 5.6.0 et 5.6.1 selon Andres Freund, le dveloppeur qui l’a dcouverte.
Aucun rapport connu ne fait tat de l’intgration de ces versions dans les versions de production des principales distributions Linux, mais Red Hat et Debian ont signal que les versions bta publies rcemment utilisaient au moins l’une des versions rtroactives, en particulier dans les distributions Fedora Rawhide et Debian testing, unstable et experimental. Une version stable d’Arch Linux est galement concerne. Cette distribution n’est toutefois pas utilise dans les systmes de production.
La porte drobe ayant t dcouverte avant que les versions malveillantes de xz Utils ne soient ajoutes aux versions de production de Linux, elle n’affecte personne dans le monde rel , a dclar Will Dormann, analyste principal des vulnrabilits au sein de la socit de scurit Analygence. Mais c’est uniquement parce qu’elle a t dcouverte rapidement en raison de la ngligence d’un acteur malveillant. Si elle n’avait pas t dcouverte, elle aurait t catastrophique pour le monde entier .
Introduction de la porte drobe
Le 23 fvrier, une mise jour a ajout du code obfusqu, et le jour suivant, un script dinstallation malveillant sest inject dans les fonctions utilises par sshd, le fichier binaire qui permet le fonctionnement de SSH. Le code malveillant na t prsent que dans les versions archives (connues sous le nom de tarballs), qui sont publies en amont. Le code GIT disponible dans les rfrentiels nest pas affect, bien quil contienne des artefacts de deuxime tape permettant linjection lors de la construction. Si le code obfusqu introduit le 23 fvrier est prsent, les artefacts dans la version GIT permettent la porte drobe de fonctionner.
Les modifications malveillantes ont t soumises par JiaT75, lun des deux principaux dveloppeurs de xz Utils avec des annes de contributions au projet. Andres Freund, le dveloppeur qui a dcouvert la porte drobe, a not que compte tenu de lactivit sur plusieurs semaines, le contributeur est soit directement impliqu, soit son systme a t compromis de manire assez svre. Malheureusement, cette dernire explication semble la moins probable, tant donn qu’il a communiqu sur diverses listes propos des « correctifs » fournis dans les rcentes mises jour , a-t-il continu.
Jeudi, une personne utilisant le nom du dveloppeur s’est rendue sur un site de dveloppeurs pour Ubuntu afin de demander que la version 5.6.1 antidate soit incorpore dans les versions de production, car elle corrigeait des bogues qui provoquaient le dysfonctionnement d’un outil connu sous le nom de Valgrind.
Cela pourrait perturber les scripts de construction et les pipelines de test qui attendent des rsultats spcifiques de Valgrind pour russir , a averti la personne, partir d’un compte cr le mme jour.
L’un des responsables de Fedora a dclar vendredi que le mme dveloppeur l’avait approch ces dernires semaines pour demander que Fedora 40, une version bta, incorpore l’une des versions d’utilitaires rtroactives.
Nous avons mme travaill avec lui pour rsoudre le problme de valgrind (qui s’est avr tre caus par la porte drobe qu’il avait ajoute) , a dclar le responsable d’Ubuntu. Il fait partie du projet xz depuis deux ans, ajoutant toutes sortes de fichiers de test binaires, et avec ce niveau de sophistication, nous nous mfierions des versions plus anciennes de xz jusqu’ preuve du contraire .
Selon les chercheurs, les versions malveillantes interfrent intentionnellement avec l’authentification effectue par SSH, un protocole couramment utilis pour se connecter distance des systmes. SSH fournit un chiffrement robuste pour garantir que seules les parties autorises se connectent un systme distant. La porte drobe est conue pour permettre un acteur malveillant de briser l’authentification et, partir de l, d’obtenir un accs non autoris l’ensemble du systme. La porte drobe fonctionne en injectant du code pendant une phase cl du processus de connexion.
Je n’ai pas encore analys prcisment ce qui est vrifi dans le code inject pour permettre un accs non autoris , a crit Freund. tant donn que ce code est excut dans un contexte de prauthentification, il semble probable qu’il permette une forme d’accs ou une autre forme d’excution de code distance .
Dans certains cas, la porte drobe n’a pas pu fonctionner comme prvu. L’environnement de build de Fedora 40, par exemple, contient des incompatibilits qui empchent l’injection de se produire correctement. Fedora 40 est maintenant revenue aux versions 5.4.x de xz Utils.
Xz Utils est disponible pour la plupart des distributions Linux, mais toutes ne l’incluent pas par dfaut. Toute personne utilisant Linux doit immdiatement vrifier auprs de son distributeur si son systme est affect. Freund a fourni un script permettant de dtecter si un systme SSH est vulnrable.
Plusieurs personnes ont signal que les applications incluses dans le gestionnaire de paquets HomeBrew pour macOS utilisaient la version 5.6.1 de xz Utils avec la porte drobe. HomeBrew a depuis rtrograd lutilitaire la version 5.4.6.
Les distributions affectes
Red Hat a averti vendredi qu’une porte drobe malveillante dcouverte dans la bibliothque logicielle de compression de donnes xz, largement utilise, pourrait tre prsente dans des instances de Fedora Linux 40 et dans la distribution pour dveloppeurs Fedora Rawhide. La grande enseigne de l’informatique a dclar que le code malveillant, qui semble fournir un accs distance via OpenSSH et systemd au moins, est prsent dans xz 5.6.0 et 5.6.1. La vulnrabilit a t dsigne sous le nom de CVE-2024-3094. Elle est note 10 sur 10 dans la svrit CVSS.
Les utilisateurs de Fedora Linux 40 peuvent avoir reu la version 5.6.0, en fonction de la date de mise jour de leur systme, selon Red Hat. Les utilisateurs de Fedora Rawhide, la version de dveloppement actuelle de ce qui deviendra Fedora Linux 41, pourraient avoir reu la version 5.6.1. Les versions 40 et 41 de Fedora n’ont pas encore t officiellement publies ; la version 40 devrait sortir le mois prochain.
Les utilisateurs d’autres distributions Linux et OS doivent vrifier quelle version de la suite xz ils ont installe. Les versions infectes, 5.6.0 et 5.6.1, ont t publies respectivement le 24 fvrier et le 9 mars, et n’ont peut-tre pas t intgres dans les dploiements de beaucoup de personnes.
Cette compromission de la chane d’approvisionnement a peut-tre t dtecte suffisamment tt pour empcher une exploitation gnralise, et elle n’affecte peut-tre que les distros de pointe qui ont immdiatement rcupr les dernires versions de xz.
Debian Unstable et Kali Linux ont indiqu qu’elles taient, comme Fedora, affectes ; tous les utilisateurs devraient prendre des mesures pour identifier et supprimer toutes les versions de xz ayant fait l’objet d’une rtrocession.
Veuillez cesser immdiatement d’utiliser toute instance de Fedora Rawhide pour votre travail ou vos activits personnelles , a dclar la filiale d’IBM. Fedora Rawhide sera prochainement ramen la version xz-5.4.x. Une fois cette opration effectue, les instances Fedora Rawhide pourront tre redployes en toute scurit .
Red Hat Enterprise Linux (RHEL) n’est pas concern.
SUSE a publi un correctif pour les utilisateurs d’openSUSE.
Le code malveillant dans les versions 5.6.0 et 5.6.1 de xz a t obscurci, selon Red Hat, et n’est prsent que dans l’archive du code source. Les artefacts de seconde tape dans le repo Git sont transforms en code malveillant par le biais de la macro M4 dans le repo pendant le processus de construction. La bibliothque xz empoisonne qui en rsulte est utilise son insu par des logiciels, tels que le systme d’exploitation systemd, une fois que la bibliothque a t distribue et installe. Le logiciel malveillant semble avoir t conu pour altrer le fonctionnement des dmons du serveur OpenSSH qui utilisent la bibliothque via systemd.
La version malveillante qui en rsulte interfre avec l’authentification dans sshd via systemd , explique Red Hat. SSH est un protocole couramment utilis pour se connecter distance des systmes, et sshd est le service qui permet l’accs .
Conclusion
Cette interfrence d’authentification peut permettre un malfaiteur de rompre l’authentification sshd et d’obtenir distance un accs non autoris un systme affect. En rsum, la porte drobe semble fonctionner comme suit : Les machines Linux installent la librairie xz – plus prcisment, liblzma – et cette dpendance est finalement utilise d’une manire ou d’une autre par le daemon OpenSSH de l’ordinateur. ce stade, la bibliothque xz empoisonne est en mesure d’interfrer avec le dmon et de permettre un malfaiteur non autoris de se connecter distance.
Cette dcouverte souligne limportance de la scurit dans la chane dapprovisionnement logicielle et met en vidence les risques potentiels pour les systmes SSH. Il est essentiel de surveiller de prs les mises jour et de vrifier lintgrit des outils et des bibliothques utiliss dans les distributions Linux et autres systmes dexploitation.
Sources : Andres Freund, HomeBrew, Ubuntu, Red Hat CVE-2024-3094, avis de scurit de Red Hat, SUSE, Debian
Et vous ?
Quelle est votre opinion sur la scurit dans la chane dapprovisionnement logicielle ? Pensez-vous que les dveloppeurs et les mainteneurs de logiciels devraient tre plus vigilants lorsquils intgrent des mises jour ou des bibliothques tierces ?
Comment cela pourrait-il affecter la confiance des utilisateurs envers les distributions Linux et les outils open source ? La dcouverte de cette porte drobe pourrait-elle entraner une mfiance accrue envers les logiciels open source ? Comment les projets open source peuvent-ils renforcer la confiance des utilisateurs ?
Quelles mesures de scurit supplmentaires devraient tre mises en place pour dtecter et prvenir de telles menaces ? Comment pouvons-nous amliorer la dtection prcoce des portes drobes et des vulnrabilits dans les logiciels largement utiliss ?
Quel rle les entreprises et les organisations jouent-elles dans la vrification de la scurit des logiciels quelles utilisent ? Devraient-elles investir davantage dans des audits de scurit indpendants pour sassurer que les outils quelles utilisent sont exempts de portes drobes ?
Comment pouvons-nous sensibiliser davantage les utilisateurs et les dveloppeurs limportance de la scurit logicielle ? Quelles initiatives ducatives ou de sensibilisation pourraient aider prvenir de telles situations lavenir ?