Red Hat đã phát hành một “cảnh báo bảo mật khẩn cấp” vào ngày thứ Sáu, cảnh báo rằng hai phiên bản của một thư viện nén dữ liệu phổ biến gọi là XZ Utils (trước đây là LZMA Utils) đã bị nhiễm mã độc được thiết kế để cho phép truy cập từ xa không được ủy quyền.

Sự cố về chuỗi cung ứng phần mềm, được theo dõi với mã CVE-2024-3094, có điểm CVSS là 10.0, cho thấy mức độ nghiêm trọng tối đa. Nó ảnh hưởng đến các phiên bản XZ Utils 5.6.0 (phát hành vào ngày 24 tháng 2) và 5.6.1 (phát hành vào ngày 9 tháng 3).

Công ty con của IBM nói trong một thông báo: “Qua một loạt các kỹ thuật, quá trình xây dựng liblzma trích xuất một tệp đối tượng được xây sẵn từ một tệp kiểm tra được ẩn trong mã nguồn, sau đó được sử dụng để sửa đổi các chức năng cụ thể trong mã liblzma.”

“Kết quả là một thư viện liblzma đã được sửa đổi có thể được sử dụng bởi bất kỳ phần mềm nào liên kết với thư viện này, chặn và sửa đổi tương tác dữ liệu với thư viện này.”

Cụ thể, mã độc ác đã được nhúng vào mã được thiết kế để can thiệp vào quy trình dịch vụ sshd cho SSH (Secure Shell) thông qua bộ phần mềm systemd và có thể cho phép một kẻ đe dọa phá vỡ xác thực sshd và truy cập trái phép vào hệ thống từ xa “dưới các điều kiện thích hợp”.

Nhà nghiên cứu an ninh của Microsoft, Andres Freund, đã được ghi nhận với việc phát hiện và báo cáo vấn đề vào ngày thứ Sáu. Mã độc ác được che giấu mạnh mẽ được cho là đã được giới thiệu qua một loạt bốn lần cam kết vào Dự án Tukaani trên GitHub bởi một người dùng có tên Jia Tan (JiaT75).

Các phiên bản Linux “Với hoạt động kéo dài trong vài tuần, người thực hiện cam kết có thể liên quan trực tiếp hoặc hệ thống của họ đã bị nhiễm mã nghiêm trọng,” Freund nói. “Thật không may, giải thích sau dường như ít có khả năng, vì họ đã giao tiếp trên các danh sách khác nhau về ‘sửa lỗi’.”

GitHub, thuộc sở hữu của Microsoft, đã vô hiệu hóa kho lưu trữ XZ Utils do Dự án Tukaani duy trì “do vi phạm các điều khoản dịch vụ của GitHub.” Hiện tại chưa có báo cáo về việc khai thác hoạt động trong tự nhiên.

Bằng chứng cho thấy các gói chỉ tồn tại trong Fedora 41 và Fedora Rawhide, không ảnh hưởng đến Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux, và SUSE Linux Enterprise và Leap.

Người dùng Fedora Linux 40 đã được khuyến nghị giảm cấp xuống phiên bản 5.4. Một số bản phân phối Linux khác bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng là:

  • Kali Linux (từ ngày 26 đến 29 tháng 3)
  • openSUSE Tumbleweed và openSUSE MicroOS (từ ngày 7 đến 28 tháng 3)
  • Phiên bản thử nghiệm, không ổn định và Debian testing (từ 5.5.1alpha-0.1 đến 5.6.1-1)

Sự phát triển này đã thúc đẩy Cơ quan An ninh và Hạ tầng Mạng của Hoa Kỳ (CISA) phát ra cảnh báo riêng của họ, kêu gọi người dùng giảm cấp XZ Utils xuống phiên bản không bị ảnh hưởng (ví dụ: XZ Utils 5.4.6 Stable).

Nguồn The Hacker News