Har du Linux-installationer, så kig efter bagdøre

Find ud af, om din Linux-installation er påvirket af sårbarheden i xz Utils.

Som vi skrev i går er der fundet en kritisk fejl i et datakomprimeringsværktøj, xz Utils, der anvendes på mange Linux-platforme. Det var en udvikler hos Microsoft, Anders Freund, der afslørede, at en bagdør var blevet plantet med vilje i xz Utils.

Da xz Utils er et open source-datakomprimeringsværktøj, der er tilgængeligt på næsten alle installationer af Linux og andre Unix-lignende operativsystemer, har det rystet det meste af Linux-verdenen. En række medier er ved at afdække forløbet, og sikkerhedsteams tilknyttet Fedora, Debian, openSUSE, Kali og Arch m.fl. har udsendt meddelelser, der advarer organisationer med de berørte Linux-udgivelser, om straks at vende tilbage til tidligere, mere stabile udgivelser af deres software for at mindske risikoen for "remote code execution".

Sårbarheden er en hidsig sag med en CVSS-score på 10,0 og CVE-2024-3094 som identifikationsnummer. 

Det fremgår bl.a. af Ars Technica, at personen eller personerne bag bagdøren sandsynligvis brugt år på at udvikle og plante bagdøren, og at de sandsynligvis var ”meget tæt på at se bagdørsopdateringen smeltet sammen med Debian og Red Hat”, som er de to største distributioner af Linux.

På Github er der udgivet kode, der kan bruges til at opdage aktiviteter efter udnyttelse relateret til CVE-2024-3094. Også Binarly har udgivet et et gratis værktøj, som organisationer også kan bruge til at lede efter evt. bagdøre.

DKCERT anbefaler at anvende værktøjet til analyse af, om man har Linux-installationer, der er påvirket af sårbarheden.

Links:

https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/

https://www.darkreading.com/cyber-risk/xz-utils-backdoor-implanted-in-intricate-multi-year-supply-chain-attack

https://www.binarly.io/blog/xz-utils-supply-chain-puzzle-binarly-ships-free-scanner-for-cve-2024-3094-backdoor

https://github.com/Neo23x0/signature-base/blob/master/yara/bkdr_xz_util_cve_2024_3094.yar

https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules/blob/main/Vulnerability%20Management/InboundSSHConnectionToVulnerableXZMachine.md

Keywords: