Des distributions Linux infectées par un code malveillant

Des acteurs anonymes ont intégré un code malveillant dans les versions 5.6.0 et 5.6.1 de la suite d’outils de compression de données open-source XZ Utils. Pire encore, les outils victimes d’un cheval de Troie ont touché plusieurs intégrations connues de Linux sorties en mars. C’est pourquoi cette faille nommée CVE-2024-3094 est considérée comme une attaque de la chaîne d’approvisionnement.

Pourquoi cet implant est-il si dangereux ?

Dans un premier temps, plusieurs chercheurs pensaient que cette porte dérobée permettait aux cybercriminels de casser l’authentification sshd (le processus du serveur OpenSSH) et d’obtenir un accès à distance non autorisé au système d’exploitation. Pourtant, d’après les dernières informations, cette vulnérabilité ne devrait pas être considérée comme un « contournement de l’authentification » mais comme une « exécution de code à distance » (RCE).  La porte dérobée intercepte la fonction RSA de déchiffrement public, vérifie la signature de l’hôte en utilisant la clé corrigée Ed448 puis, si la vérification est réussie, exécute le code malveillant envoyé par l’hôte via la fonction system() en ne laissant aucune trace dans les registres sshd.

Quelles distributions de Linux ont des outils malveillants et lesquelles sont sûres ?

Tout le monde sait que les versions de mars des distributions Linux suivantes contiennent les versions 5.6.0 et 5.6.1 de l’utilitaire XZ Utils :

• Kali Linux mais, selon le blog officiel, cela ne concerne que les versions disponibles entre le 26 et le 29 mars. L’article fournit aussi les instructions à suivre pour vérifier les versions vulnérables des outils ;
• openSUSE Tumbleweed et openSUSE MicroOS, disponibles du 7 au 28 mars ;
• Fedora 41, Fedora Rawhide et la version bêta de Fedora Linux 40 ;
• Debian (uniquement les distributions de test, instables et expérimentales) ;
• Arch Linux, avec les images disponibles entre le 29 février et le 29 mars. Même si le site org indique qu’à cause des caractéristiques de l’implémentation ce vecteur d’attaque ne fonctionnera pas dans Arch Linux, il est fortement recommandé de mettre le système à jour.

Selon les informations officielles, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap et Debian Stable ne sont pas vulnérables. Quant aux autres distributions, il vaut mieux les vérifier manuellement afin de confirmer si elles contiennent les versions infectées de XZ Utils

Comment ce code malveillant s’est implanté dans XZ Utils ?

Apparemment, il s’agit du cas type du transfert de contrôle. La personne qui gérait le projet XZ Libs sur GitHub a passé le contrôle de l’espace de stockage a un compte qui contribuait à la gestion de plusieurs espaces de stockage liés à la compression de données depuis plusieurs années. Et, à un moment donné, l’une des personnes de l’autre compte a ajouté une porte dérobée dans le code du projet.

Une épidémie évitée de justesse

Selon Igor Kuznetsov, directeur de notre équipe Global Research and Analysis Team (GReAT), l’exploitation de la faille CVE-2024-3094 aurait pu être l’attaque la plus importante de toute l’histoire de l’écosystème Linux. Cela s’explique par le fait qu’elle ciblait d’abord les serveurs SSH, le principal outil de gestion à distance de tous les serveurs Linux sur Internet. Si l’attaque avait atteint des distributions stables, un très grand nombre de serveurs aurait probablement été piraté. Heureusement, la vulnérabilité CVE-2024-3094 a été détectée dans les distributions de tests et de type rolling, qui ont utilisées les dernières versions de l’ensemble de logiciels. C’est pourquoi la plupart des utilisateurs Linux n’ont pas été menacés. Pour le moment, nous n’avons pas détecté de cas d’exploitation de la faille CVE-2024-3094.

Comment vous protéger ?

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) conseille à toute personne ayant installé ou mis à jour les systèmes d’exploitation concernés en mars de revenir immédiatement en arrière et d’utiliser la version antérieure de XZ Utils (par exemple, la version 5.4.6). Il convient également de lancer une recherche d’activité malveillante.

Si vous avez installé une distribution avec la version vulnérable de XZ Utils, il est évident que vous devez changer tous les identifiants que les cybercriminels ont pu trouver dans le système et voler.

Vous pouvez utiliser la règle YARA de CVE-2024-3094 pour savoir si la vulnérabilité est présente.

Si vous pensez qu’un cybercriminel a pu avoir accès à l’infrastructure de votre entreprise, nous vous conseillons d’utiliser le service Kaspersky Compromise Assessment pour détecter les attaques passées ou actuellement en cours.