Red Hat cảnh báo backdoor trong thư viện Xperia Utils

07:00 | 08/04/2024 | DOANH NGHIỆP

Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).

Red Hat đã gắn mã theo dõi cho lỗ hổng đặc biệt nghiêm trọng này là CVE-2024-3094 (điểm CVSS: 10). Lỗ hổng gây ảnh hưởng đến các phiên bản XZ Utils 5.6.0 (phát hành ngày 24/02/2024) và 5.6.1 (phát hành ngày 9/3/2024). Đây là hình thức tấn công chuỗi cung ứng khá nguy hiểm và hiện chưa có thông tin về bản vá cập nhật.

Red Hat cảnh báo backdoor trong thư viện Xperia Utils

Hình 1. Mô tả và đánh giá mức độ nguy hiểm của lỗ hổng CVE-2024-3094

Nhà nghiên cứu bảo mật của Microsoft, ông Andres Freund được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này sau khi phân tích các lần đăng nhập SSH trên hệ điều hành Debian Sid (phiên bản phát triển cập nhật của bản phân phối Debian). Tuy nhiên, Freund vẫn chưa tìm ra mục đích chính xác của mã độc được nhúng vào phiên bản XZ 5.6.0 và 5.6.1.

Ban đầu, việc khởi động sshd bên ngoài hệ thống không cho thấy tình trạng chậm, mặc dù backdoor được kích hoạt trong thời gian ngắn. Điều này là một trong số biện pháp đối phó của tin tặc khiến việc phân tích trở nên khó khăn hơn.

Mã độc bị xáo trộn và được tìm thấy trong gói tải xuống của các phiên bản XZ trên, sau đó kích hoạt quá trình xây dựng backdoor. Các nhà nghiên cứu cho biết, kẻ tấn công đã chèn mã độc được thiết kế đặc biệt để can thiệp vào tiến trình daemon sshd dành cho SSH thông qua systemd. Từ đó có thể phá vỡ xác thực sshd và giành quyền truy cập trái phép vào hệ thống từ xa mà không cần xác thực.

Hình 2. Github hiện đã vô hiệu hóa kho lưu trữ XZ Utils

Github đã vô hiệu hóa kho lưu trữ XZ Utils với lí do “Vi phạm điều khoản dịch vụ”. Hiện nay, vẫn chưa có báo cáo cụ thể về việc khai thác lỗ hổng CVE-2024-3094 trong thực tế.

Do chưa có bản vá chính thức, nên các chuyên gia bảo mật khuyến nghị quản trị viên và người dùng cần quay trở lại sử dụng phiên bản XZ 5.4.6 cho đến khi bản cập nhật được phát hành, đồng thời kiểm tra lại bảo mật hệ thống.

Nguyễn Lê Minh

(Tổng hợp)

‹ › ×

Tin liên quan

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Deadglyph: Backdoor mới trong cuộc tấn công gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông

23:00 | 28/09/2023

Trung Đông từ lâu được biết đến là khu vực khai thác thông tin tiềm năng đối với các tin tặc APT. Trong quá trình giám sát định kỳ các hoạt động đáng ngờ của các thực thể chính phủ trong khu vực, các nhà nghiên cứu của công ty an ninh mạng ESET đã phát hiện ra một backdoor rất tinh vi và chưa từng được biết đến trước đây có tên là Deadglyph, được sử dụng bởi một tác nhân có tên Stealth Falconnhư một phần của chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông.

Phân tích cuộc tấn công chuỗi cung ứng để cài đặt backdoor nhắm vào các hệ thống Linux

13:00 | 20/09/2023

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.

Tin cùng chuyên mục

Microsoft cảnh báo về lỗ hổng nghiêm trọng mới trên Exchange Server đang bị khai thác

14:00 | 22/02/2024

Ngày 14/02/2024, Microsoft đã lên tiếng cảnh báo về một lỗ hổng bảo mật nghiêm trọng mới trong máy chủ Exchange Server đang bị khai thác rộng rãi, một ngày sau khi hãng phát hành các bản sửa lỗi cho lỗ hổng này như một phần của bản cập nhật Patch Tuesday.

Cisco cảnh báo lỗ hổng RCE nghiêm trọng

09:00 | 01/02/2024

Mới đây, Cisco đưa ra cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager của hãng dễ gặp phải lỗ hổng thực thi mã từ xa ở mức độ nghiêm trọng.

5G Advanced - bước tiến mới trong công nghệ 5G

07:00 | 27/12/2023

Được kỳ vọng mang đến một cấp độ mới về nâng cao khả năng kết nối và các ứng dụng khác, 5G Advanced áp dụng trí tuệ nhân tạo (AI) và máy học (ML) sẽ hỗ trợ các ứng dụng tiên tiến với tính di động và độ tin cậy cao cũng như cải thiện hiệu suất mạng. 5G Advanced cũng sẽ mang đến những cải tiến về hiệu suất quang phổ và tiết kiệm năng lượng hơn. Những cải tiến đáng kể dự kiến 5G Advanced mang lại đó là hiệu suất 5G, hỗ trợ cho các phân khúc thị trường mới, mạng bền vững và tự động hóa mạng thông minh. Bài báo sau đây sẽ giới thiệu một số nét về 5G Advanced.

Bốn doanh nghiệp công nghệ Việt bắt tay sản xuất thiết bị an ninh mạng Make in Vietnam

14:00 | 01/11/2023

Các doanh nghiệp công nghệ Việt gồm MK Hi-Tek, SafeGate, Pavana và Vissoft công bố bắt tay hợp tác để phát triển, sản xuất các sản phẩm thiết bị kết nối mạng Make in Vietnam, với mục tiêu làm chủ công nghệ và hiện thực hoá tầm nhìn đưa Việt Nam thành quốc gia tự chủ về an toàn, an ninh mạng để bảo vệ sự thịnh vượng của Việt Nam trên không gian mạng vào 2030.