Mi az XZ Utils hátsó ajtó?
Az XZ Utils tömörítő segédprogram 5.6.0 és 5.6.1 verzióiban jelent meg először a hátsó ajtó (CVE-2024-3094), amelyet egy korábbi fejlesztő (Jia Tan) csempészett bele. A kód az OpenSSH egyik funkcióját, az RSA_public_decrypt-et támadta meg a glibc IFUNC mechanizmusán keresztül. Egy speciális, a támadók által birtokolt privát kulcs segítségével be lehetett jelentkezni SSH-n keresztül az érintett rendszerre, kihagyva a hitelesítést, és root jogosultsággal tetszőleges parancsot lehetett futtatni.
Miért veszélyes még mindig?
A hiba felfedezése után gyorsan megkezdődtek a javítások, és megjelentek különböző detektáló eszközök. Ennek ellenére a Binarly kutatói azt találták, hogy a Docker Hubon még mindig elérhető több olyan image, amely tartalmazza a kompromittált kódot, sőt, sok más image ezekre épül, így továbbterjed a sebezhetőség. A Debian, az egyik érintett disztribúció karbantartója, a kutatók jelzése ellenére sem törölte az érintett image-eket, mondván, alacsony az esélye annak, hogy a hátsó ajtó kihasználható legyen. Szerintük az SSH szolgáltatásnak is futnia kell az image-ben, és a támadónak hálózati hozzáféréssel is kell rendelkeznie.
Mit tanácsolnak a szakértők?
A Binarly szerint már önmagában is kockázatos, hogy ezek az image-ek továbbra is elérhetők, még ha véletlenül, automatizált build folyamatban is használják fel őket. Mindenkinek, aki Docker image-eket használ, érdemes ellenőriznie, hogy az XZ Utils könyvtár legalább 5.6.2-es vagy frissebb verziója legyen az image-ben, különösen, ha régebbi vagy kevésbé ellenőrzött forrásból dolgozik.
