Du code malveillant découvert dans les outils XZ de Red Hat

Red Hat met en garde contre une porte dérobée présente dans les outils XZ utilisés par la plupart des distributions Linux. Sur son site web, la firme a écrit ce Vendredi saint: «Veuillez cesser immédiatement d'utiliser toutes les instances de Fedora 41 ou Fedora Rawhide, que ce soit pour le travail ou les activités personnelles». Le site Bleepingcomputer rapporte aussi la faille, indiquant qu’aucune version de Red Hat Enterprise Linux (RHEL) n'est concernée: «Nous avons des rapports et des preuves que les injections dans les versions xz 5.6.x ont été construites avec succès dans Debian unstable (Sid). D'autres distributions pourraient également être affectées». 

Kali Linux, openSUSE et Arch Linux ont également publié des avis de sécurité et réinitialisé les versions dans les rolling releases concernées. Les administrateurs Linux peuvent donc vérifier quelle version de XZ est installée en interrogeant leur gestionnaire de paquets ou en exécutant le script shell suivant, qui a été partagé par un chercheur en cybersécurité nommé Kostas.

Selon Bleepingcomputer, le script exécute la commande 'strings' sur toutes les instances de l'exécutable xz et affiche sa version intégrée. Avec cette commande, les utilisateurs pourraient déterminer la version sans exécuter la ligne de commande munie d'une porte dérobée. Quiconque utilise les versions 5.6.0 ou 5.6.1 doit "immédiatement passer à des versions plus anciennes sans le code malveillant". Un ingénieur logiciel de Microsoft du nom d'Andres Freund a découvert et documenté le problème de sécurité alors qu'il examinait les connexions SSH lentes sur une boîte Linux exécutant Debian Sid (la version rolling development de la distribution Debian), écrit encore Bleepingcomputer.

L’ingénieur logiciel n'a toutefois pas encore trouvé l'objectif exact du code malveillant ajouté à la bibliothèque de compression de données liblzma dans les versions 5.6.0 et 5.6.1 de XZ par un sinistre contributeur nommé Jia Tan (JiaT75). «Je n'ai pas encore analysé précisément ce qui est vérifié dans le code injecté pour permettre un accès non autorisé. Comme cela fonctionne dans un contexte de pré-authentification, il semble probable que cela permette une forme d'accès ou une autre forme d'exécution de code à distance», a déclaré Andres Freund. Et d’ajouter: «Initialement, le lancement de sshd en dehors de systemd n'a pas montré de ralentissement, malgré l'activation momentanée de la porte dérobée. Cela semble faire partie de certaines contre-mesures visant à rendre l'analyse plus difficile». 

Red Hat revient à XZ 5.4.x dans Fedora Beta

Red Hat suit désormais ce problème de sécurité de la supply chain en tant que faille CVE-2024-3094 et lui a attribué un score de gravité critique de 10/10, tout en revenant à la version 5.4.x de XZ dans Fedora 40 Beta, précise Bleepingcomputer. Le code malveillant est donc masqué et ne peut être trouvé que dans le package de téléchargement complet, et non dans la distribution Git, dans laquelle la macro M4 qui déclenche le processus de construction de la porte dérobée est absente. 

Si la macro malveillante est présente, les artefacts de deuxième niveau trouvés dans le référentiel Git sont injectés pendant la période de build, poursuit Bleepingcomputer. «Le build malveillant qui en résulte perturbe l'authentification dans sshd via systemd. SSH est un protocole couramment utilisé pour se connecter à des systèmes à distance, et sshd est le service qui permet l'accès, écrit Red Hat. Dans les circonstances appropriées, cette perturbation pourrait potentiellement permettre à un acteur malveillant de passer outre l'authentification sshd et d'obtenir un accès non autorisé à l'ensemble du système à distance».

La CISA, en quelque sorte le NCSC des Etats-Unis, a également publié un avertissement conseillant aux développeurs et aux utilisateurs de passer à une version non compromise de XZ (c'est-à-dire 5.4.6 Stable) et de rechercher toute activité malveillante ou suspecte sur leurs systèmes.