{"id":21666,"date":"2024-04-04T14:40:17","date_gmt":"2024-04-04T12:40:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21666"},"modified":"2024-04-04T14:40:17","modified_gmt":"2024-04-04T12:40:17","slug":"cve-2024-3094-vulnerability-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/","title":{"rendered":"Des distributions Linux infect\u00e9es par un code malveillant"},"content":{"rendered":"<p>Des acteurs anonymes ont int\u00e9gr\u00e9 un code malveillant dans les versions 5.6.0 et 5.6.1 de la suite d\u2019outils de compression de donn\u00e9es open-source XZ Utils. Pire encore, les outils victimes d\u2019un cheval de Troie ont touch\u00e9 plusieurs int\u00e9grations connues de Linux sorties en mars. C\u2019est pourquoi cette faille nomm\u00e9e <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2024-3094<\/a> est consid\u00e9r\u00e9e comme une attaque de la cha\u00eene d\u2019approvisionnement.<\/p>\n<h2>Pourquoi cet implant est-il si dangereux ?<\/h2>\n<p>Dans un premier temps, plusieurs chercheurs pensaient que cette porte d\u00e9rob\u00e9e permettait aux cybercriminels de casser l\u2019authentification <a href=\"https:\/\/www.ssh.com\/academy\/ssh\/sshd\" target=\"_blank\" rel=\"noopener nofollow\">sshd<\/a> (le processus du serveur OpenSSH) et d\u2019obtenir un acc\u00e8s \u00e0 distance non autoris\u00e9 au syst\u00e8me d\u2019exploitation. Pourtant, d\u2019apr\u00e8s les <a href=\"https:\/\/bsky.app\/profile\/filippo.abyssdomain.expert\/post\/3kowjkx2njy2b\" target=\"_blank\" rel=\"noopener nofollow\">derni\u00e8res informations<\/a>, cette vuln\u00e9rabilit\u00e9 ne devrait pas \u00eatre consid\u00e9r\u00e9e comme un \u00ab\u00a0contournement de l\u2019authentification\u00a0\u00bb mais comme une \u00ab\u00a0ex\u00e9cution de code \u00e0 distance\u00a0\u00bb (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">RCE<\/a>).\u00a0 La porte d\u00e9rob\u00e9e intercepte la fonction <a href=\"https:\/\/www.openssl.org\/docs\/manmaster\/man3\/RSA_public_decrypt.html\" target=\"_blank\" rel=\"noopener nofollow\">RSA de d\u00e9chiffrement public<\/a>, v\u00e9rifie la signature de l\u2019h\u00f4te en utilisant la cl\u00e9 corrig\u00e9e Ed448 puis, si la v\u00e9rification est r\u00e9ussie, ex\u00e9cute le code malveillant envoy\u00e9 par l\u2019h\u00f4te via la fonction <em>system()<\/em> en ne laissant aucune trace dans les registres sshd.<\/p>\n<h2>Quelles distributions de Linux ont des outils malveillants et lesquelles sont s\u00fbres ?<\/h2>\n<p>Tout le monde sait que les versions de mars des distributions Linux suivantes contiennent les versions 5.6.0 et 5.6.1 de l\u2019utilitaire XZ Utils :<\/p>\n<ul>\n<li>Kali Linux mais, selon le <a href=\"https:\/\/www.kali.org\/blog\/about-the-xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">blog officiel<\/a>, cela ne concerne que les versions disponibles entre le 26 et le 29 mars. L\u2019article fournit aussi les instructions \u00e0 suivre pour v\u00e9rifier les versions vuln\u00e9rables des outils\u00a0;<\/li>\n<li>openSUSE Tumbleweed et openSUSE MicroOS, <a href=\"https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">disponibles du 7 au 28 mars\u00a0<\/a>;<\/li>\n<li>Fedora 41, Fedora Rawhide et la version b\u00eata de Fedora Linux 40\u00a0;<\/li>\n<li>Debian (uniquement les <a href=\"https:\/\/lists.debian.org\/debian-security-announce\/2024\/msg00057.html\" target=\"_blank\" rel=\"noopener nofollow\">distributions de test, instables et exp\u00e9rimentales<\/a>)\u00a0;<\/li>\n<li>Arch Linux, avec les images disponibles entre le 29 f\u00e9vrier et le 29 mars. M\u00eame si le site <a href=\"https:\/\/archlinux.org\/news\/the-xz-package-has-been-backdoored\/\" target=\"_blank\" rel=\"noopener nofollow\">org<\/a> indique qu\u2019\u00e0 cause des caract\u00e9ristiques de l\u2019impl\u00e9mentation ce vecteur d\u2019attaque ne fonctionnera pas dans Arch Linux, il est fortement recommand\u00e9 de mettre le syst\u00e8me \u00e0 jour.<\/li>\n<\/ul>\n<p>Selon les informations officielles, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap et Debian Stable ne sont pas vuln\u00e9rables. Quant aux autres distributions, il vaut mieux les v\u00e9rifier manuellement afin de confirmer si elles contiennent les versions infect\u00e9es de XZ Utils<\/p>\n<h2>Comment ce code malveillant s\u2019est implant\u00e9 dans XZ Utils ?<\/h2>\n<p>Apparemment, il s\u2019agit du <a href=\"https:\/\/orca.security\/resources\/blog\/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094\/\" target=\"_blank\" rel=\"noopener nofollow\">cas type<\/a> du transfert de contr\u00f4le. La personne qui g\u00e9rait le projet XZ Libs sur GitHub a pass\u00e9 le contr\u00f4le de l\u2019espace de stockage a un compte qui contribuait \u00e0 la gestion de plusieurs espaces de stockage li\u00e9s \u00e0 la compression de donn\u00e9es depuis plusieurs ann\u00e9es. Et, \u00e0 un moment donn\u00e9, l\u2019une des personnes de l\u2019autre compte a ajout\u00e9 une porte d\u00e9rob\u00e9e dans le code du projet.<\/p>\n<h2>Une \u00e9pid\u00e9mie \u00e9vit\u00e9e de justesse<\/h2>\n<p>Selon Igor Kuznetsov, directeur de notre \u00e9quipe Global Research and Analysis Team (GReAT), l\u2019exploitation de la faille CVE-2024-3094 aurait pu \u00eatre l\u2019attaque la plus importante de toute l\u2019histoire de l\u2019\u00e9cosyst\u00e8me Linux. Cela s\u2019explique par le fait qu\u2019elle ciblait d\u2019abord les serveurs SSH, le principal outil de gestion \u00e0 distance de tous les serveurs Linux sur Internet. Si l\u2019attaque avait atteint des distributions stables, un tr\u00e8s grand nombre de serveurs aurait probablement \u00e9t\u00e9 pirat\u00e9. Heureusement, la vuln\u00e9rabilit\u00e9 CVE-2024-3094 a \u00e9t\u00e9 d\u00e9tect\u00e9e dans les distributions de tests et de type rolling, qui ont utilis\u00e9es les derni\u00e8res versions de l\u2019ensemble de logiciels. C\u2019est pourquoi la plupart des utilisateurs Linux n\u2019ont pas \u00e9t\u00e9 menac\u00e9s. Pour le moment, nous n\u2019avons pas d\u00e9tect\u00e9 de cas d\u2019exploitation de la faille CVE-2024-3094.<\/p>\n<h2>Comment vous prot\u00e9ger ?<\/h2>\n<p>L\u2019Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/03\/29\/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">conseille<\/a> \u00e0 toute personne ayant install\u00e9 ou mis \u00e0 jour les syst\u00e8mes d\u2019exploitation concern\u00e9s en mars de revenir imm\u00e9diatement en arri\u00e8re et d\u2019utiliser la version ant\u00e9rieure de XZ Utils (par exemple, la version 5.4.6). Il convient \u00e9galement de lancer une recherche d\u2019activit\u00e9 malveillante.<\/p>\n<p>Si vous avez install\u00e9 une distribution avec la version vuln\u00e9rable de XZ Utils, il est \u00e9vident que vous devez changer tous les identifiants que les cybercriminels ont pu trouver dans le syst\u00e8me et voler.<\/p>\n<p>Vous pouvez utiliser la <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/bkdr_xz_util_cve_2024_3094.yar\" target=\"_blank\" rel=\"noopener nofollow\">r\u00e8gle YARA de CVE-2024-3094<\/a> pour savoir si la vuln\u00e9rabilit\u00e9 est pr\u00e9sente.<\/p>\n<p>Si vous pensez qu\u2019un cybercriminel a pu avoir acc\u00e8s \u00e0 l\u2019infrastructure de votre entreprise, nous vous conseillons d\u2019utiliser le service <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/compromise-assessment?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Compromise Assessment<\/a> pour d\u00e9tecter les attaques pass\u00e9es ou actuellement en cours.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"21662\">\n","protected":false},"excerpt":{"rendered":"<p>La porte d\u00e9rob\u00e9e introduite dans XZ Utils affecte plusieurs distributions Linux connues.<\/p>\n","protected":false},"author":2698,"featured_media":21667,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4384,459,623,4111,322],"class_list":{"0":"post-21666","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attaque-de-la-chaine-dapprovisionnement","11":"tag-backdoor","12":"tag-linux","13":"tag-porte-derobee","14":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2024-3094-vulnerability-backdoor\/27244\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/22549\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/29918\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2024-3094-vulnerability-backdoor\/27416\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/27136\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2024-3094-vulnerability-backdoor\/37222\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/50873\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2024-3094-vulnerability-backdoor\/27597\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2024-3094-vulnerability-backdoor\/33423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2024-3094-vulnerability-backdoor\/33050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/linux\/","name":"Linux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21666","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=21666"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21666\/revisions"}],"predecessor-version":[{"id":21669,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21666\/revisions\/21669"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/21667"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=21666"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=21666"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=21666"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}