30 Mart 2024

Linux XZ Araçlarındaki Kritik Arka Kapı

Red Hat, en son XZ Utils veri sıkıştırma araçları ve kütüphanelerinde bulunan bir arka kapı nedeniyle Fedora geliştirme ve deneysel sürümleri çalıştıran sistemlerin derhal kullanımını durdurma konusunda kullanıcıları uyardı. (https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users)

Red Hat, Cuma (29 Mart 2024) günü "LÜTFEN HEM İŞ HEM DE KİŞİSEL AKTİVİTELER İÇİN FEDORA 41 VE FEDORA RAWHIDE ÖRNEKLERİNİN KULLANIMINI DERHAL DURDURUN" uyarısında bulundu.

Red Hat, bu tedarik zinciri güvenlik sorununu CVE-2024-3094 olarak takip ediyor, 10/10 kritik dereceli puanı atadı ve Fedora 40 beta'da XZ'nin 5.4.x sürümlerine geri döndü.

Kötü amaçlı kod, karışık ve yalnızca tam indirme paketinde bulunabilir, M4 makrosunu içermeyen Git dağıtımında bulunmaz durumda, bu da arka kapı derleme sürecini tetikleyen bir M4 makrosu eksikliğinden kaynaklanıyor. Kötü amaçlı makro varsa, ikinci aşama ürünleri Git deposunda derleme zamanında enjekte edilir.

Red Hat, "Hiçbir Red Hat Enterprise Linux (RHEL) sürümü etkilenmemiştir. Debian unstable (Sid) için derlenen xz 5.6.x sürümlerinde başarılı bir şekilde enjeksiyon yapıldığına dair raporlar ve kanıtlarımız var. Diğer dağıtımlar da etkilenebilir." diyerek uyardı.

Red Hat ayrıca "Sonuç olarak elde edilen kötü amaçlı derleme, systemd üzerinden sshd'yi kimlik doğrulamasında engeller. SSH, sistemlere uzaktan bağlanmak için yaygın olarak kullanılan bir protokoldür ve sshd erişimi sağlayan servistir, Doğru koşullar altında bu müdahale, potansiyel olarak kötü niyetli bir aktörün sshd kimlik doğrulamasını kırmasına ve tüm sisteme uzaktan yetkisiz erişim elde etmesine olanak tanıyabilir." diye de belirtti.

Debian'ın güvenlik ekibi de kullanıcıları konuyla ilgili uyardı. Uyarıda, istikrarlı Debian sürümlerinin etkilenen paketleri kullanmadığını ve XZ'nin etkilenen Debian testing, unstable ve experimental dağıtımlarında yukarı akış 5.4.5 koduna geri döndürüldüğünü belirtiyor.

5.6.0 ve 5.6.1 sürümlerine eklenen kötü amaçlı kodun tam amacı henüz bulunamadı. Uzmanlar "Enjekte edilen kodun neyin kontrol edildiği henüz analiz edilmedi fakat izinsiz erişim için olduğu ve bu önişlem bağlamında çalıştığı için, muhtemelen bir tür erişim veya başka bir uzak kod yürütme biçimi sağlamak için olması muhtemel. Öncelikle sshd'yi systemd dışında başlatmak, arka kapı kısa süreliğine çağrıldığında bile yavaşlama göstermedi. Bu, analizi zorlaştırmak için bazı karşı önlemlerin bir parçası gibi görünüyor. " diye uyarıyor.

CISA da bir uyarı yayınladı ve geliştiricileri ve kullanıcıları etkilenmemiş bir XZ sürümüne (örneğin, 5.4.6 Kararlı) geri dönmeye ve sistemlerinde herhangi bir kötü amaçlı veya şüpheli faaliyet aramaya çağırdı.

Eğer sistem etkilenen sürümü çalıştırıyorsa, bunu nasıl anlayacağınız şu şekildedir:

     xz --version

Çıktı xz (XZ Utils) 5.6.1 veya liblzma 5.6.1 ise, kullanıcılar dağıtımları için güncelleme yapabilirler, xz'yi eski sürüme düşürebilirler veya geçici olarak ssh'ı devre dışı bırakabilirler.

Sorun başlıca Linux dağıtımlarını etkilemekle birlikte, bazı MacOS sürümlerinin de etkilenmiş paketleri çalıştırdığı rapor ediliyor. Eğer durum buysa, Mac üzerinde brew upgrade komutunu çalıştırmak xz'yi 5.6.0'dan 5.4.6'ya düşürmelidir.


Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

Bizi arayın: 0216 450 25 94
[email protected]

Ve Tüm Bu Siber Saldırılara Karşı
TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

Bizi arayın: 0216 450 25 94
[email protected]

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Popüler Yayınlar