← Toate articolele CVE · CRITICAL · CVSS 10.0

Backdoor xz-utils
CVE-2024-3094:
detectare în 30s

În martie 2024, Andres Freund (PostgreSQL maintainer) a descoperit accidental că versiunile xz-utils 5.6.0 și 5.6.1 conțin un backdoor introdus de un maintainer compromis (jiaT75) care a câștigat încrederea proiectului în 2 ani de contribuții autentice.

Cum funcționează backdoor-ul

Lanțul de execuție e elegant și diabolic:

1. xz-utils (compresie XZ) e folosit indirect de sshd (OpenSSH) prin systemd
2. Build-time: în build-to-host.m4 e injectat un test corrupt care extrage un payload obfuscat
3. Runtime: liblzma.so.5 hookează RSA_public_decrypt via ifunc resolver
4. La verificarea cheii SSH a clientului, dacă semnătura conține trigger pattern (Ed448 specific), permite RCE pre-auth

Impact: RCE pre-authentication pe orice server cu sshd care folosește systemd-notify și liblzma. Adică majoritatea distribuțiilor Linux moderne.

Versiuni afectate

• xz-utils 5.6.0 (released 2024-02-24)
• xz-utils 5.6.1 (released 2024-03-09)

Distribuții afectate (la momentul publicării):

• Fedora 40 + 41 testing
• openSUSE Tumbleweed
• Kali Linux rolling (rare cazuri)
• Debian unstable / sid
• Arch Linux (înainte de rollback)

NU au fost afectate (stable channels): Debian stable, Ubuntu LTS, RHEL, AlmaLinux, Rocky Linux.

Detectare cu ARTEMIS

Am adăugat un Nuclei template custom în Network Scan (10 credite) care verifică versiunea xz pe orice host cu SSH expus:

id: cve-2024-3094-xz-backdoor
info:
  name: xz-utils 5.6.0/5.6.1 backdoor (CVE-2024-3094)
  severity: critical
  cvss-score: 10.0
  reference:
    - https://www.openwall.com/lists/oss-security/2024/03/29/4
    - https://nvd.nist.gov/vuln/detail/CVE-2024-3094

ssh-banner:
  - method: GET
    path: ssh://{{Host}}:22

  matchers:
    - type: regex
      regex:
        - "OpenSSH.*Debian.*"  # check vulnerable distros
      part: banner

  extractors:
    - type: kval
      kval: ["xz_version"]

În plus, AI Classifier verifică context-aware:

• Dacă banner-ul SSH indică distro afectat → escalation severity
• Dacă există acces shell prin alt vector → check direct xz --version
• Cross-check cu /etc/os-release pentru confirmare distro

Remediation

Pașii recomandați:

1. Upgrade urgent la xz-utils 5.4.6 sau mai vechi (pre-backdoor)
2. Verifică hash sha256sum /usr/lib/x86_64-linux-gnu/liblzma.so.5
3. Audit ssh logs pentru tentative de exploitare (pattern Ed448 specific)
4. Rulează ARTEMIS Network Scan pe perimetrul SSH

Lecția mai mare

Atacul jiaT75 e cazul de școală pentru supply chain integrity (OWASP A03:2026). Soluții:

• SBOM mandatoriu pentru dependențe
• Verificare semnături maintainers prin webs of trust
• Monitor activity patterns (jiaT75 contribuia 24/7 — bot-like)
• Reproducible builds (Tor, NixOS)