Solar appScreener подтвердил наличие бэкдора в утилите XZ Utils для Linux

Эксперты ГК "Солар" протестировали популярную утилиту XZ Utils для Linux с помощью комплексного решения для контроля безопасности приложений Solar appScreener и убедились в наличии бэкдора CVE-2024-3094.

Результат проверки разработчика-создателя CVE-2024-3094 системой Solar appScreener показал, что, несмотря на высокие оценки в показателях "Популярность" и "Активность сообщества", оценка по критерию "‎Авторский состав" низкая. Solar appScreener считает автора недоверенным, а значит, не стоит использовать его пакеты.

В конце марта стало известно об умышленной атаке на утилиту Linux. Бэкдор CVE-2024-3094 был внедрен в утилиту для сжатия данных XZ Utils. Такая уязвимость позволяет получить несанкционированный удаленный доступ ко всей системе. Пакет XZ Utils включен в большинство дистрибутивов и репозиториев Linux, поэтому под угрозой оказались тысячи компаний по всему миру, которые используют их в своих приложениях.

Бэкдор в XZ внедрил один из его разработчиков. Это была целенаправленная атака на цепочку поставки ПО, которую злоумышленник планировал два года.

"В последние годы мы регулярно видим атаки на цепочку поставок среди техник прогосударственных группировок. Тенденция проявилась в нашумевших инцидентах с CCleaner и SolarWinds в 2018 и 2020 году соответственно. Атаки через компоненты свободно распространяемого ПО — относительно новый виток этого тренда и недавний инцидент с бэкдором в XZ (хоть пока и нет четких свидетельств, что атакующие достигли своих целей) показывает, что организаторы сложных атак готовы инвестировать немалые ресурсы в компрометацию подобного ПО. Это означает, что организациям следует учитывать этот риск и применять средства для анализа и выявления атак на цепочки поставок", — отметил Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК "Солар".

По мнению экспертов "Солар" атаки на цепочки поставок — один из самых популярных видов атак на ПО. Через open source-библиотеки любой, включая злоумышленников, может вносить уязвимости в проект с открытым исходным кодом.

"Если в компании open source-компоненты бесконтрольно используются в разработке приложений, то вредоносный код рано или поздно попадет коммерческое ПО. Контрибьютер — неизвестный разработчик — не проверяется никакими корпоративными службами безопасности при внесении изменений в код проекта, а владельцы проектов редко задумываются о безопасности своих репозиториев. Так вредоносный код попадает в контур компании", — пояснил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК "Солар".