Red Hat cảnh báo backdoor trong thư viện Xperia Utils

07:00 | 08/04/2024 | DOANH NGHIỆP

Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).

Red Hat đã gắn mã theo dõi cho lỗ hổng đặc biệt nghiêm trọng này là CVE-2024-3094 (điểm CVSS: 10). Lỗ hổng gây ảnh hưởng đến các phiên bản XZ Utils 5.6.0 (phát hành ngày 24/02/2024) và 5.6.1 (phát hành ngày 9/3/2024). Đây là hình thức tấn công chuỗi cung ứng khá nguy hiểm và hiện chưa có thông tin về bản vá cập nhật.

Red Hat cảnh báo backdoor trong thư viện Xperia Utils

Hình 1. Mô tả và đánh giá mức độ nguy hiểm của lỗ hổng CVE-2024-3094

Nhà nghiên cứu bảo mật của Microsoft, ông Andres Freund được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này sau khi phân tích các lần đăng nhập SSH trên hệ điều hành Debian Sid (phiên bản phát triển cập nhật của bản phân phối Debian). Tuy nhiên, Freund vẫn chưa tìm ra mục đích chính xác của mã độc được nhúng vào phiên bản XZ 5.6.0 và 5.6.1.

Ban đầu, việc khởi động sshd bên ngoài hệ thống không cho thấy tình trạng chậm, mặc dù backdoor được kích hoạt trong thời gian ngắn. Điều này là một trong số biện pháp đối phó của tin tặc khiến việc phân tích trở nên khó khăn hơn.

Mã độc bị xáo trộn và được tìm thấy trong gói tải xuống của các phiên bản XZ trên, sau đó kích hoạt quá trình xây dựng backdoor. Các nhà nghiên cứu cho biết, kẻ tấn công đã chèn mã độc được thiết kế đặc biệt để can thiệp vào tiến trình daemon sshd dành cho SSH thông qua systemd. Từ đó có thể phá vỡ xác thực sshd và giành quyền truy cập trái phép vào hệ thống từ xa mà không cần xác thực.

Hình 2. Github hiện đã vô hiệu hóa kho lưu trữ XZ Utils

Github đã vô hiệu hóa kho lưu trữ XZ Utils với lí do “Vi phạm điều khoản dịch vụ”. Hiện nay, vẫn chưa có báo cáo cụ thể về việc khai thác lỗ hổng CVE-2024-3094 trong thực tế.

Do chưa có bản vá chính thức, nên các chuyên gia bảo mật khuyến nghị quản trị viên và người dùng cần quay trở lại sử dụng phiên bản XZ 5.4.6 cho đến khi bản cập nhật được phát hành, đồng thời kiểm tra lại bảo mật hệ thống.

Nguyễn Lê Minh

(Tổng hợp)

‹ › ×

Tin liên quan

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Deadglyph: Backdoor mới trong cuộc tấn công gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông

23:00 | 28/09/2023

Trung Đông từ lâu được biết đến là khu vực khai thác thông tin tiềm năng đối với các tin tặc APT. Trong quá trình giám sát định kỳ các hoạt động đáng ngờ của các thực thể chính phủ trong khu vực, các nhà nghiên cứu của công ty an ninh mạng ESET đã phát hiện ra một backdoor rất tinh vi và chưa từng được biết đến trước đây có tên là Deadglyph, được sử dụng bởi một tác nhân có tên Stealth Falconnhư một phần của chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông.

Phân tích cuộc tấn công chuỗi cung ứng để cài đặt backdoor nhắm vào các hệ thống Linux

13:00 | 20/09/2023

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.

Tin cùng chuyên mục

Accenture hợp tác cùng SandboxAQ cung cấp các giải pháp trí tuệ nhân tạo và điện toán lượng tử

14:00 | 19/02/2024

Hợp doanh Accenture (Mỹ) và SandboxAQ cung cấp khả năng quản lý mật mã toàn diện dựa trên trí tuệ nhân tạo (AI), tận dụng Bộ bảo mật của SandboxAQ để cung cấp các giải pháp AI và điện toán lượng tử.

Ghi nhận hơn 2.600 lỗ hổng bảo mật mới trong tháng 12/2023

07:00 | 15/01/2024

Trong tháng 12, các chuyên gia bảo mật đã ghi nhận 2.677 lỗ hổng bảo mật mới. Trong đó có 48 lỗ hổng bảo mật ở mức thấp, 1.078 lỗ hổng bảo mật ở mức trung bình, 998 lỗ hổng bảo mật ở mức cao và 553 lỗ hổng bảo mật ở mức nghiêm trọng.

Microsoft bổ sung các tính năng bảo mật mới cho Windows 11

14:00 | 24/10/2023

Ngày 26/9, Microsoft đã công bố các cải tiến về bảo mật sẽ có trong phiên bản Windows 11 mới nhất, bao gồm bảng điều khiển quản lý Passkey mới và các công cụ giúp giảm bề mặt tấn công.

Tạo lập, khai thác và kết nối dữ liệu: Định hình tương lai ngành ngân hàng trong kỷ nguyên số

10:00 | 11/10/2023

Sáng ngày 06/10/2023, tại Hà Nội Mi2 JSC đã đồng hành và tham gia Hội thảo và Triển lãm quốc tế Smart Banking 2023 với chủ đề “Tạo lập, khai thác và kết nối dữ liệu: Định hình tương lai ngành ngân hàng trong kỷ nguyên số”. Sự kiện do Hiệp hội Ngân hàng Việt Nam và Tập đoàn IEC phối hợp tổ chức .