התגלתה תקלת סייבר שהייתה יכולה לעלות ביוקר למשתמשי הלינוקס

תקלה שעליה עלה, באופן אקראי למדי, אנדרס פרונד, מפתח PostrageSQL במיקרוסופט, יכולה הייתה לעלות ביוקר לכל יקום המשתמשים בהפצות הלינוקס השונות. התקלה הזו, כך התברר, נובעת מהשתלה של קוד טרויאני, שמטרתו הייתה לאפשר חיבור שנחשב אמין גם בפני מערכות לא מורשות, במטרה לחדור למערכת.

במהלך בדיקות שגרתיות למדי של תהליכי SSH, שמאפשרים חיבור מאובטח ומוצפן בין מחשב לשרת באמצעות האינטרנט, פרונד זיהה שחבילת הקוד של XZ Utils – חבילה פופולרית שמשולבת כמעט בכל הפצות הלינוקס כדי לאפשר פעולות של כיווץ ופתיחת קצבים – גורמת לשיהוי של כ-600 אלפיות השנייה ומעלה את העומס על המעבד לרמה גבוהה מדי.

בדיקה שלו העלתה שעל החבילה הזו – שכאמור, היא פופולרית במיוחד – בוצעה התקפת שרשרת ייצור שהשתילה בה את הקוד המרושע, ופרסם את הממצאים שלו באופן מיידי. הקהילה הגיבה מהר וזיהתה כיצד הוחדר הקוד לחבילת ה-XZ Utils – שהיא חבילת קוד פתוח שקיימת כבר מאז 2009 ומתוחזקת בידי מפתח יחיד בחינם: הפורץ כנראה יצר קשר עם המפתח ופעל לאט ולאורך זמן, עד שזכה לאמונו והצליח להשתיל את הקוד שלו בקוד המקור.

התקלה, שקיבלה את הקוד CVE-2024-3094, זכתה לרמת החומרה הגבוהה ביותר, ולפי דיווח של רד האט, היא משנה את הפונקציות של ספריית כיווץ הנתונים liblzma, שכלולה בחבילת ה-XZ.

פרונד דיווח בנוסף שהתקלה נמצאת בשתי הגרסאות האחרונות של XZ Utils, שמספרן 5.6.0 ו-5.6.1, והוא זכה לחיזוק מצדה של רד האט וגם מצד CISA, סוכנות אבטחת הסייבר והתשתית הפדרלית של ארצות הברית. רד האט אף הורתה למשתמשי Fedora Linux 40, הפצת הלינוקס של החברה הבת של יבמ, להפסיק את השימוש מיד, עד שגרסת ה-XZ תשונמך ל-5.4.X. בנוסף, החברה ציינה כי הגרסה הארגונית, RHEL, לא נפגעה.