Red Hat cảnh báo backdoor trong thư viện Xperia Utils

07:00 | 08/04/2024 | DOANH NGHIỆP

Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).

Red Hat đã gắn mã theo dõi cho lỗ hổng đặc biệt nghiêm trọng này là CVE-2024-3094 (điểm CVSS: 10). Lỗ hổng gây ảnh hưởng đến các phiên bản XZ Utils 5.6.0 (phát hành ngày 24/02/2024) và 5.6.1 (phát hành ngày 9/3/2024). Đây là hình thức tấn công chuỗi cung ứng khá nguy hiểm và hiện chưa có thông tin về bản vá cập nhật.

Red Hat cảnh báo backdoor trong thư viện Xperia Utils

Hình 1. Mô tả và đánh giá mức độ nguy hiểm của lỗ hổng CVE-2024-3094

Nhà nghiên cứu bảo mật của Microsoft, ông Andres Freund được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này sau khi phân tích các lần đăng nhập SSH trên hệ điều hành Debian Sid (phiên bản phát triển cập nhật của bản phân phối Debian). Tuy nhiên, Freund vẫn chưa tìm ra mục đích chính xác của mã độc được nhúng vào phiên bản XZ 5.6.0 và 5.6.1.

Ban đầu, việc khởi động sshd bên ngoài hệ thống không cho thấy tình trạng chậm, mặc dù backdoor được kích hoạt trong thời gian ngắn. Điều này là một trong số biện pháp đối phó của tin tặc khiến việc phân tích trở nên khó khăn hơn.

Mã độc bị xáo trộn và được tìm thấy trong gói tải xuống của các phiên bản XZ trên, sau đó kích hoạt quá trình xây dựng backdoor. Các nhà nghiên cứu cho biết, kẻ tấn công đã chèn mã độc được thiết kế đặc biệt để can thiệp vào tiến trình daemon sshd dành cho SSH thông qua systemd. Từ đó có thể phá vỡ xác thực sshd và giành quyền truy cập trái phép vào hệ thống từ xa mà không cần xác thực.

Hình 2. Github hiện đã vô hiệu hóa kho lưu trữ XZ Utils

Github đã vô hiệu hóa kho lưu trữ XZ Utils với lí do “Vi phạm điều khoản dịch vụ”. Hiện nay, vẫn chưa có báo cáo cụ thể về việc khai thác lỗ hổng CVE-2024-3094 trong thực tế.

Do chưa có bản vá chính thức, nên các chuyên gia bảo mật khuyến nghị quản trị viên và người dùng cần quay trở lại sử dụng phiên bản XZ 5.4.6 cho đến khi bản cập nhật được phát hành, đồng thời kiểm tra lại bảo mật hệ thống.

Nguyễn Lê Minh

(Tổng hợp)

‹ › ×

Tin liên quan

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Deadglyph: Backdoor mới trong cuộc tấn công gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông

23:00 | 28/09/2023

Trung Đông từ lâu được biết đến là khu vực khai thác thông tin tiềm năng đối với các tin tặc APT. Trong quá trình giám sát định kỳ các hoạt động đáng ngờ của các thực thể chính phủ trong khu vực, các nhà nghiên cứu của công ty an ninh mạng ESET đã phát hiện ra một backdoor rất tinh vi và chưa từng được biết đến trước đây có tên là Deadglyph, được sử dụng bởi một tác nhân có tên Stealth Falconnhư một phần của chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ tại Trung Đông.

Phân tích cuộc tấn công chuỗi cung ứng để cài đặt backdoor nhắm vào các hệ thống Linux

13:00 | 20/09/2023

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.

Tin cùng chuyên mục

Cảnh báo lỗ hổng nghiêm trọng trong Camera Zhejiang Uniview ISC

09:00 | 06/03/2024

Các nhà nghiên cứu đang cảnh báo về lỗ hổng nghiêm trọng có mã định danh CVE-2024-0778, gây ảnh hưởng đến dòng camera Zhejiang Uniview ISC (Trung Quốc) đã không còn được hỗ trợ.

Cloudflare bị tấn công mạng bởi các tin tặc do nhà nước bảo trợ

15:00 | 06/02/2024

Mới đây, công ty bảo mật web Cloudflare (Mỹ) tiết lộ rằng các tin tặc đã sử dụng thông tin đăng nhập bị đánh cắp trước đó để có quyền truy cập vào một số hệ thống nội bộ của hãng này.

Tăng cường bảo mật dữ liệu và email để ứng phó với mối đe dọa trong Thế giới số

07:00 | 15/12/2023

Chuyển đổi số đã mang lại rất nhiều lợi ích vượt trội cho doanh nghiệp hiện nay, tuy nhiên nó cũng tạo ra rất nhiều thách thức khi họ phải đối diện với các mối đe dọa tấn công hệ thống ngày càng tăng lên, đồng thời phải đảm bảo an toàn dữ liệu của tổ chức. Theo thống kê, đã có hơn 90% cuộc tấn công bắt nguồn từ lừa đảo thông qua email của doanh nghiệp. Nhiều doanh nghiệp và tổ chức cũng đang dần tìm kiếm giải pháp mới để phòng ngừa lừa đảo qua email, bảo vệ thông tin doanh nghiệp và đảm bảo an toàn cho khách hàng.

Tài liệu tham khảo về bảo vệ trẻ em trên môi trường mạng dành cho cha mẹ, thầy cô

13:00 | 14/12/2023

Trước kia trẻ em thường chỉ chịu sự ảnh hưởng giáo dục, thông tin tại gia đình và nhà trường. Tuy nhiên với thời đại công nghệ hiện nay, trẻ em còn có sự tác động và thông tin từ môi trường Internet. Thế giới ảo đã và đang tác động mạnh mẽ đến trẻ em với những rủi ro như bị xâm hại tình dục, lộ, lọt thông tin cá nhân, tin giả, bắt nạt qua mạng.... Chính vì vậy, phụ huynh và giáo viên được coi là lực lượng tiên phong, cần hỗ trợ và bảo vệ các em bằng việc cung cấp những thông tin, kiến thức và cách thức nói chuyện cũng như các bài giảng slide hữu ích dành cho trẻ.