Az XZ hátsó ajtó még mindig ott bujkál a Docker Hubon

Márciusban derült fény az XZ Utils hátsó ajtóra, ám még mindig legalább 35 olyan Linux image található a Docker Hubon, amelyek tartalmazzák ezt a súlyos sebezhetőséget. Ezeket az image-eket bárki letöltheti és felhasználhatja, akár fejlesztő, akár szervezet, így veszélybe sodorhatja adatait és rendszereit.

Mi az XZ Utils hátsó ajtó?

Az XZ Utils tömörítő segédprogram 5.6.0 és 5.6.1 verzióiban jelent meg először a hátsó ajtó (CVE-2024-3094), amelyet egy korábbi fejlesztő (Jia Tan) csempészett bele. A kód az OpenSSH egyik funkcióját, az RSA_public_decrypt-et támadta meg a glibc IFUNC mechanizmusán keresztül. Egy speciális, a támadók által birtokolt privát kulcs segítségével be lehetett jelentkezni SSH-n keresztül az érintett rendszerre, kihagyva a hitelesítést, és root jogosultsággal tetszőleges parancsot lehetett futtatni.

Miért veszélyes még mindig?

A hiba felfedezése után gyorsan megkezdődtek a javítások, és megjelentek különböző detektáló eszközök. Ennek ellenére a Binarly kutatói azt találták, hogy a Docker Hubon még mindig elérhető több olyan image, amely tartalmazza a kompromittált kódot, sőt, sok más image ezekre épül, így továbbterjed a sebezhetőség. A Debian, az egyik érintett disztribúció karbantartója, a kutatók jelzése ellenére sem törölte az érintett image-eket, mondván, alacsony az esélye annak, hogy a hátsó ajtó kihasználható legyen. Szerintük az SSH szolgáltatásnak is futnia kell az image-ben, és a támadónak hálózati hozzáféréssel is kell rendelkeznie.

Mit tanácsolnak a szakértők?

A Binarly szerint már önmagában is kockázatos, hogy ezek az image-ek továbbra is elérhetők, még ha véletlenül, automatizált build folyamatban is használják fel őket. Mindenkinek, aki Docker image-eket használ, érdemes ellenőriznie, hogy az XZ Utils könyvtár legalább 5.6.2-es vagy frissebb verziója legyen az image-ben, különösen, ha régebbi vagy kevésbé ellenőrzött forrásból dolgozik.

2025, adrienne, www.bleepingcomputer.com alapján