Red Hat a publié une « alerte de sécurité urgente ». Concernant une attaque détectée dans deux versions de la célèbre bibliothèque de compression de données XZ Utils (anciennement connue sous le nom de LZMA Utils).
Détails de l’attaque CVE-2024-3094
Cette attaque, identifiée sous le nom de CVE-2024-3094, a été répertoriée avec le score CVSS le plus élevé possible de 10.0. Indiquant une menace de gravité maximale. Le système CVSS (Common Vulnerability Scoring System) utilise pour évaluer la gravité et le risque de sécurité du système sur une échelle de 0 à 10. Les versions 5.6.0 (publiée le 24 février) et 5.6.1 (publiée le 9 mars) de XZ Utils concernent.
Impact et actions recommandées
Selon les déclarations de la filiale d’IBM. Le processus de compilation de liblzma extrait un fichier d’objets précompilés d’un fichier de test camouflé dans le code source. Ce qui permet de modifier des fonctions spécifiques du code liblzma. De cela résulte une bibliothèque modifiée que n’importe quel logiciel lié peut utiliser. Facilitant ainsi l’interception et la modification de l’interaction des données avec cette bibliothèque.
Plus précisément, le code malveillant cherche à interférer avec le processus du démon sshd pour SSH (Secure Shell) par l’intermédiaire de la suite logicielle systemd. Permettant potentiellement à un attaquant de rompre l’authentification sshd et d’obtenir un accès non autorisé au système à distance.
Origine et réponse
Andres Freund, chercheur en sécurité chez Microsoft, a été chargé de découvrir et de signaler le problème. L’utilisateur nommé Jia Tan (JiaT75) a introduit le code malveillant dans une série de modifications apportées au projet Tukaani sur GitHub. En réponse, GitHub a désactivé le dépôt XZ Utils du projet Tukaani en raison d’une violation des conditions d’utilisation.
Quoique aucun rapport d’exploitation active dans la nature n’existe. Il est conseillé aux utilisateurs de Fedora Linux 40 de mettre à jour la version 5.4 de XZ Utils. Les autres distributions concernées sont Arch Linux, Kali Linux, openSUSE Tumbleweed et MicroOS. Ainsi que les versions test, instable et expérimentale de Debian.
Par mesure de précaution, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une alerte. Invitant les utilisateurs à rétrograder XZ Utils vers une version non compromise (par exemple XZ Utils 5.4.6 Stable).
Cet incident met en évidence l’importance de la sécurité dans la chaîne d’approvisionnement des logiciels et souligne la nécessité d’une vigilance constante de la part de la communauté de la cybersécurité.
Lire aussi: Conseils en cybersécurité que chaque gamer devrait connaître