Linux aurait pu être détruit par une porte dérobée trouvée dans un utilitaire largement utilisé

Linux could have been brought down by backdoor found in widely used utility

Pourquoi est-ce important: Par hasard, le chercheur de Microsoft, Andres Freund, a découvert un code malveillant susceptible de briser l’authentification sshd. S’il n’avait pas été découvert, il aurait pu constituer une grave menace pour Linux. La communauté open source a réagi à l’incident, reconnaissant le caractère fortuit de la découverte et le fait qu’elle a heureusement été détectée tôt avant qu’elle ne puisse poser un risque significatif pour la communauté Linux au sens large.

Andres Freund, développeur PostgreSQL chez Microsoft, effectuait un micro-benchmarking de routine lorsque nous avons remarqué un petit retard de 600 ms avec les processus ssh, remarquant que ceux-ci utilisaient une quantité surprenante de CPU même s’ils devraient échouer immédiatement, selon son article sur Mastodonte.

Une chose en a entraîné une autre et Freund est finalement tombé sur une attaque de la chaîne d’approvisionnement impliquant un code malveillant obscurci dans le package XZ. Il a publié sa découverte sur la liste de diffusion de sécurité Open Source et la communauté Open Source l’a reprise à partir de là.

La communauté des développeurs a rapidement découvert comment cette attaque avait été astucieusement injectée dans XZ utils, un petit projet open source maintenu par un seul développeur non rémunéré depuis au moins 2009. Le compte associé aux commits incriminés a apparemment joué le long jeu, gagnant lentement le confiance du développeur de XZ, ce qui a donné lieu à des spéculations selon lesquelles l’auteur du code malveillant serait un attaquant sophistiqué, éventuellement affilié à une agence d’État-nation.

Officiellement appelé CVE-2024-3094, il a le score CVSS le plus élevé possible de 10. Red Hat signale que le code malveillant modifie les fonctions de liblzma, qui est une bibliothèque de compression de données qui fait partie du package d’utilitaires XZ et est un élément fondamental de plusieurs distributions Linux majeures.

Ce code modifié peut ensuite être utilisé par n’importe quel logiciel lié à la bibliothèque XZ et permettre l’interception et la modification des données utilisées avec la bibliothèque. Sous certaines conditions, selon Freund, cette porte dérobée pourrait permettre à un acteur malveillant de briser l’authentification sshd, permettant ainsi à l’attaquant d’accéder à un système affecté. Freund a également signalé que les versions 5.6.0 et 5.6.1 des utilitaires XZ sont affectées.

Red Hat a identifié les packages vulnérables dans Fedora 41 et Fedora Rawhide, conseillant aux utilisateurs de cesser de les utiliser jusqu’à ce qu’une mise à jour soit disponible, bien que Red Hat Enterprise Linux (RHEL) ne soit pas affecté. SUSE a publié des mises à jour pour openSUSE (Tumbleweed ou MicroOS). Les versions stables de Debian Linux sont sûres, mais les versions de test, instables et expérimentales nécessitent des mises à jour de xz-utils en raison de packages compromis. Les utilisateurs de Kali Linux qui ont mis à jour entre le 26 et le 29 mars doivent à nouveau mettre à jour pour un correctif, tandis que ceux qui ont mis à jour avant le 26 mars ne sont pas concernés par cette vulnérabilité.

Cependant, comme l’ont noté de nombreux chercheurs en sécurité, la situation continue d’évoluer et d’autres vulnérabilités pourraient être découvertes. On ne sait pas non plus quelle serait la charge utile. L’Agence américaine de cybersécurité et de sécurité des infrastructures a conseillé aux utilisateurs de passer à une version non compromise des utilitaires XZ, qui serait antérieure à la 5.6.0. Les sociétés de sécurité conseillent également aux développeurs et aux utilisateurs d’effectuer des tests de réponse aux incidents pour voir s’ils ont été touchés et, le cas échéant, de le signaler à la CISA.

Heureusement, il ne semble pas que ces versions concernées aient été incorporées dans des versions de production pour les principales distributions Linux, mais Will Dormann, analyste principal des vulnérabilités chez la société de sécurité Analysgence, a déclaré à Ars Technica que cette découverte avait été évitée de justesse. « S’il n’avait pas été découvert, cela aurait été catastrophique pour le monde », a-t-il déclaré.


Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video