CVE-2024-3094 Saldırısı Nedir ? (Anlatım Konusu)
Türkçe Video
Yabancı Anlatım Videosu
CVE-2024-3094'ün Genel Bakışı
Red Hat son zamanlarda XZ Utils kütüphanesinde bulunan (önceden LZMA Utils olarak bilinen) rapor edilen bir kaynak zinciri tehlikesi olan CVE-2024-3094'ü (CVSS puanı 10) yayınladı. Güvenilir bir geliştirici tarafından önceden eklenmiş olan kötü niyetli kod, SSH oturumlarının kimlik doğrulamasını SSHD aracılığıyla zayıflatmaya çalışır. Etkilenen XZ sürümleri geniş çapta dağıtılmamıştır ve genellikle en son teknolojiye sahip Linux dağıtımları yapısında bulunur, örneğin fedora rawhide ve debian testing ve unstable dağıtımları gibi.
Red Hat'e göre:
Kötü niyetli kod, sürüm 5.6.0 ile başlayarak xz'nin yukarı akış tarballarında keşfedildi. Karmaşık gizlemeler dizisi yoluyla, liblzma yapı süreci, kaynak kodunda mevcut bir maskeli test dosyasından önceden derlenmiş bir nesne dosyasını çıkarır ve daha sonra bu dosyayı liblzma kodunda belirli fonksiyonları değiştirmek için kullanır. Bu, bu kütüphaneyle bağlantılı olan herhangi bir yazılım tarafından kullanılabilen değiştirilmiş bir liblzma kütüphanesine yol açar, bu kütüphaneyle olan veri etkileşimini kesip değiştirir.
Bu backdoor, yapı sürecindeki test mekanizmalarını kullanan bir saldırı zinciri olarak yerleştirildi.
Kütüphane inşa edilirken, bir test süreci başlar, hedef sistemde birkaç kontrol yapar ve ardından ilgili kontroller geçerse, önceden derlenmiş bir nesne dosyasını çıkarır ve derleme ve bağlantı sürecine entegre edilir. Backdoor hedefini çok seçicidir. Yalnızca x64 mimarilerinde çalışan hedef yapılarının içine backdoor entegre eder, bu da yapı süreci sırasında çalışan kontrol tarafından net bir şekilde belirtilir. Bu sorun, XZ'nin 5.6.0 ve 5.6.1 sürümlerini etkiler.
Etkilenen Sürümler
Debian - kararsız / sid. 5.5.1alpha-0.1 sürümünden başlayarak ve 5.1.1-1 sürümü dahil olmak üzere
Kali - 26-29 Mart 2024 tarihleri arasında paketleri güncellenen sistemler
OpenSUSE - Tumbleweed ve MicroOS sürümleri: 7-28 Mart 2024 tarihleri arasında
Arch Linux - 2024.03.01, VM görüntüleri 20240301.218094 ve 20240315.221711, 2024-02-24 ile 2024-03-28 arasında oluşturulan container görüntüleri
Fedora - Rawhide ve Fedora 40 Beta
Son düzenleme: