Une porte dérobée (backdoor) a été découverte dans la bibliothèque Linux xz dans les versions 5.6.0 et 5.6.1. Son utilisation semble permettre de contourner l'authentification ssh.
Avis de sécurité des éditeurs :
Red hat : https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian : https://lists.debian.org/debian-security-announce/2024/msg00057.html
Notre Analyse de la situation
XZ Utils est une suite d'outils open source pour le format de compression XZ, connue pour ses taux de compression élevés et le support de plusieurs algorithmes, notamment LZMA2.
Le 29 mars, un chercheur de Microsoft, Andres Freund, a découvert de manière opportuniste une backdoor dans xz/liblzma versions 5.6.0 et 5.6.1.
Plusieurs distributions Linux affectées dont : Kali Linux (entre le 26 et 29 mars), openSUSE (entre le 7 et 28 mars), et même certaines versions de Debian (de 5.5.1alpha-0.1 à 5.6.1-1), parmi d'autres
Les premières analyses montrent que seules les machines Linux x86/x64 sont touchées).
Cette backdoor permet de contourner l'authentification SSH, donnant un accès non autorisé aux machines, notamment quand SSH est exécuté via SystemD et exposé.
Vous pouvez utiliser le script suivant afin de détecter la présence de cette backdoor : https://lnkd.in/ePb3hBEH
Mais également une règle YARA est disponible : https://lnkd.in/e6-Scy5V
Selon les premières analyses, les approches laissant penser à une attaque "state-sponsored/APT" vu la sophistication et le fait que l’auteur est impliqué dans le projet depuis plus de 2 ans.
Ce cas met en lumière les risques liés aux chaînes d'approvisionnement et à l’utilisation de bibliothèques open source sans mesures de vérification adéquates, ainsi qu'une vulnérabilité sur GitHub concernant le spoofing des noms d'utilisateur.
La contremesure principale est de rétrograder vers des versions non affectées, et de suivre les recommandations des advisories de votre distribution.
On vous conseille aussi de changer vos clefs ssh par mesure de prudence.
Pour une analyse technique approfondie, nous recommandons un rapport de la CISA : https://lnkd.in/ez-aiE9w
La backdoor XZ n'est que la pointe de l'iceberg, rappelant la nécessité d’une vigilance constante face aux risques liés aux bibliothèques et dépendances open source : Pippy, NPM ou encore les registres GO.