Une backdoor découverte dans XZ Utils

La xz backdoor (ou porte dérobée xz) est une vulnérabilité dans XZ Utils, une bibliothèque de compression de données très répandue. La xz backdoor peut permettre à des utilisateurs non autorisés d'obtenir un accès de niveau administrateur aux systèmes, mettant ainsi en péril la sécurité des données et bien d'autres choses encore.

Qu'est-ce que la xz backdoor ?

La xz backdoor est une vulnérabilité causée par un code malveillant caché dans XZ Utils, une bibliothèque de compression de données largement utilisée. La porte dérobée xz permet à des personnes non autorisées d'accéder à distance aux systèmes sur lesquels la bibliothèque compromise est installée et de les manipuler.

Le code malveillant a été introduit dans les versions 5.6.0 et 5.6.1 de XZ Utils, et sa découverte a été annoncée le 29 mars 2024. La porte dérobée xz a effectivement créé un point d'entrée dans les systèmes concernés. Le National Institute of Standards and Technology a répertorié la vulnérabilité sous le nom de CVE-2024-3094 avec un score CVSS de 10.0, indiquant une vulnérabilité critique.

La CVE (Vulnérabilités et expositions communes) a été supprimée avec la publication de XZ Utils 5.6.2 en mai, rendant ainsi le logiciel sûr à mettre à jour et à utiliser à nouveau.

Que fait la porte dérobée xz ?

La porte dérobée xz permet aux utilisateurs non autorisés d'infiltrer et de manipuler le processus du démon SSH (sshd). Cela signifie que les attaquants peuvent exécuter des commandes arbitraires sur la machine concernée avant l'étape d'authentification, détournant ainsi l'ensemble du système.

La porte dérobée xz modifie la manière dont XZ Utils fonctionne lorsqu'il effectue des tâches de compression et de décompression avec lzma, un algorithme de compression sans perte.

Lorsque les fonctions de XZ Utils utilisant SSH sont déclenchées, comme lors du transfert ou de la manipulation de fichiers compressés via des connexions SSH, la porte dérobée xz permet l'exécution de codes malveillants avec les privilèges de l'administrateur (root). Un utilisateur disposant de la clé de chiffrement prédéterminée peut se connecter au système compromis via SSH, ce qui lui donne un accès administrateur autorisé à l'ensemble du système.

Risques exposés par la xz backdoor

Bien que nous n'ayons pas eu connaissance de rapports confirmés d'exploitation active de la porte dérobée xz, celle-ci présentait le potentiel d'un contournement massif des autorisations de sécurité. La porte dérobée xz crée essentiellement un point d'entrée secret dans les systèmes concernés, ce qui présente un risque de sécurité évident et grave.

La gestion de la configuration basée sur un agent Puppet ne s'appuie pas sur SSH pour appliquer des configurations cohérentes et sécurisées sur les nœuds gérés.

Pour en savoir plus sur la sécurité avec ou sans agent, consultez notre blog >>.

• Accès au niveau administrateur par des utilisateurs non autorisés, y compris des attaquants extérieurs
• Exfiltration de données
• Falsification de données
• Attaques par déni de service (DoS)
• Accès persistant aux actifs concernés

Qui a été affecté par la porte dérobée xz ?

Le code malveillant de la xz backdoor a été intégré dans les versions 5.6.0 (publiée le 24 février) et 5.6.1 (publiée le 9 mars) de XZ Utils. Bien que XZ Utils soit disponible sur la plupart des distributions Linux et autres systèmes d'exploitation de type Unix, seules certaines distributions Linux ont été affectées par la vulnérabilité de la porte dérobée xz :

• Fedora 41 et Fedora Rawhide
• Alpine Linux
• Arch Linux (support d'installation 2024.03.01, images de machines virtuelles 20240301.218094 et 20240315.221711, et images de conteneurs créées entre le 2024-02-24 et le 2024-03-28 inclus)
• Kali Linux (entre le 26 et le 29 mars 2024)
• openSUSE Tumbleweed et openSUSE MicroOS (entre le 7 et le 28 mars 2024)
• Debian testing, unstable et experimental versions (de 5.en5.1alpha-0.1 à 5.6.1-1)

Selon l'Apache Software Foundation, aucune dépendance logicielle Java n'a été affectée par le code de la porte dérobée xz.

L'utilisation de XZ Utils est-elle sûre ?

La xz backdoor a été supprimée de XZ Utils avec la version 5.6.2 du 29 mai 2024. Avec cette version, XZ Utils semble exempt de vulnérabilités connues, ce qui permet de le mettre à jour et de continuer à l'utiliser en toute sécurité.

Toujours inquiet à propos de xz Backdoor ? Voici nos conseils

Si vous pensez utiliser les versions de logiciels répertoriées ci-dessus, il existe quelques moyens de savoir si vous avez été touché et d'éviter toute autre compromission :

• Vérifiez si des versions de logiciels sont concernées : Si vous utilisez XZ Utils 5.6.0 ou 5.6.1 sur l'un des systèmes d'exploitation susmentionnés, vous pourriez être exposé à la porte dérobée xz.
• Mettez à jour vers XZ Utils 5.6.2 ou une version plus récente. Procédez à la mise à niveau de tous les systèmes potentiellement concernés.
• Correctif ou rétrogradation : s'il y a une raison pour laquelle vous ne pouvez pas effectuer la mise à niveau, vérifiez auprès du fournisseur de votre système d'exploitation s'il existe un correctif pour la nouvelle porte dérobée. Si aucun correctif n'existe, passez à une version non compromise de XZ Utils (par exemple, 5.4.6 Stable).
• Examinez les journaux du système : Gardez un œil sur les accès non autorisés ou les activités suspectes dans les systèmes concernés.

Ce que nous pouvons apprendre de l'exploit XZ Utils

La vague de panique initiale suscitée par la xz backdoor est retombée, et bien qu'elle ait eu moins d'impact qu'elle n'aurait pu en avoir, cela ne signifie pas que l'inquiétude était injustifiée. Il s'agit d'une faille critique qui s'est glissée dans un logiciel utilisé par des millions de systèmes dans le monde. Cela vaut la peine de s'inquiéter jusqu'à ce qu'on soit sûr que ce n'est pas le cas !

Alors que les logiciels libres sont souvent maintenus par des utilisateurs qui souhaitent qu'ils soient utilisables par tous en toute sécurité, des cas comme celui-ci rappellent au monde que les projets soutenus par la communauté peuvent être sapés par des acteurs malveillants. Même les logiciels qui ne sont pas victimes d'attaques et de subterfuges peuvent se retrouver vulnérables à la suite d'une seule validation mal testée, ce qui peut affecter des millions d'utilisateurs dans le monde entier.

Plus que tout, la vulnérabilité de la porte dérobée xz a souligné l'importance d'être proactif plutôt que réactif en matière de sécurité. Voici les meilleures pratiques auxquelles nous revenons sans cesse lorsque nous pensons à l'exploit XZ Utils :

Intégrez un système de retour en arrière

Tout logiciel que vous utilisez peut être rendu vulnérable à un exploit ou à une attaque. L'un des moyens les plus simples de s'assurer que l'on n'est pas affecté par un exploit comme la porte dérobée xz est de créer et de gérer l'infrastructure avec des possibilité de retour arrière. Être capable de faire cela, en particulier à grande échelle, signifie que votre équipe peut réellement faire quelque chose dans le sillage d'un CVE comme l'exploit XZ Utils.

Intégrer les correctifs et les mises à jour

De même, votre gestion de l'infrastructure devrait inclure des capacités automatisées de correction et de mise à niveau. Lorsque la communauté qui maintient un outil exploité publie un correctif pour le corriger, vous devez être en mesure de tester ce correctif, de le mettre à jour vers la bonne version et de l'appliquer. Si vous gérez un grand nombre d'environnements à la fois, vous le faites soit manuellement, soit à l'aide d'un outil de gestion de la configuration.

Appliquer une conformité éprouvée

Les systèmes renforcés par des cadres de conformité et des bonnes pratiques comme les CIS Benchmarks et les DISA STIG sont mieux préparés à prévenir les retombées des vulnérabilités.

Ces directives définissent les mesures spécifiques à prendre pour sécuriser les technologies sur lesquelles repose votre infrastructure, depuis les serveurs et les configurations de machines virtuelles jusqu'aux systèmes d'exploitation et aux applications.