Red Hat đã phát hành một cảnh báo bảo mật nghiêm trọng liên quan đến mã độc được phát hiện trong các phiên bản gần đây của công cụ và thư viện nén “xz”. Lỗ hổng CVE-2024-3094 này là một sự cố tấn công chuỗi cung ứng (supply chain compromise) cực kỳ tinh vi, cho phép kẻ tấn công vượt qua xác thực và giành quyền truy cập trái phép từ xa vào các hệ thống Linux bị ảnh hưởng.
Tổng quan về Lỗ hổng XZ Utils (CVE-2024-3094)
Tiện ích xz là một định dạng nén dữ liệu cơ bản, hiện diện trong hầu hết các bản phân phối Linux thương mại và cộng đồng. Chức năng chính của nó là nén các tệp lớn thành kích thước nhỏ hơn để truyền tải hiệu quả.
Các nhà nghiên cứu bảo mật đã phát hiện ra mã độc đã được âm thầm đưa vào các phiên bản 5.6.0 và 5.6.1 của tiện ích xz. Sự cố này được định danh là CVE-2024-3094 với điểm CVSS 10.0 (Critical), cho thấy mức độ nghiêm trọng tối đa.
Cơ chế khai thác và Che giấu Mã độc
Kẻ tấn công đã sử dụng các kỹ thuật che giấu phức tạp để ẩn dấu vết. Mã độc không hiển thị rõ ràng trong kho lưu trữ Git chính. Thay vào đó, nó được kích hoạt bởi một macro M4 bị làm xáo trộn, chỉ được bao gồm trong gói tải xuống phân phối đầy đủ.
Trong quá trình xây dựng phần mềm, macro ẩn này biên dịch các thành phần giai đoạn hai (second-stage artifacts) làm thay đổi chức năng của thư viện.
Một khi được cài đặt trên hệ thống, bản dựng bị xâm nhập sẽ can thiệp trực tiếp vào các quy trình xác thực trong sshd thông qua systemd.
Secure Shell (SSH) là giao thức tiêu chuẩn để quản lý hệ thống từ xa. Sự can thiệp này cho phép các tác nhân độc hại phá vỡ các kiểm tra xác thực, cuối cùng giành được quyền truy cập từ xa trái phép hoàn toàn vào máy chủ.
Ảnh hưởng đến Hệ thống Linux
Red Hat đã xác nhận rằng không có phiên bản nào của Red Hat Enterprise Linux (RHEL) bị ảnh hưởng bởi lỗ hổng này. Trong hệ sinh thái Red Hat, các gói bị xâm nhập chỉ giới hạn ở Fedora Rawhide và bản beta của Fedora Linux 40.
Người dùng Fedora Rawhide có thể đã cài đặt phiên bản 5.6.0 hoặc 5.6.1. Đồng thời, môi trường Fedora 40 beta đã tiếp xúc với phiên bản 5.6.0 thông qua các chu kỳ cập nhật gần đây.
Mặc dù Red Hat lưu ý rằng việc tiêm mã độc dường như chưa được thực thi thành công trong các bản dựng Fedora 40, nhưng sự hiện diện của các thư viện bị xâm nhập vẫn tiềm ẩn một rủi ro đáng kể.
Ngoài Red Hat, các bản phân phối cộng đồng khác cũng đang đối phó với mối đe dọa này. Bằng chứng cho thấy mã được tiêm đã được xây dựng thành công trong Debian unstable (Sid) và một số bản phân phối openSUSE.
Hệ quả và Nguy cơ An ninh mạng
Khả năng chiếm quyền điều khiển từ xa mà không cần xác thực là một lỗ hổng nghiêm trọng. Điều này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, đánh cắp dữ liệu nhạy cảm hoặc cài đặt các phần mềm độc hại khác.
Đây là một ví dụ điển hình về nguy cơ tiềm tàng của một tấn công chuỗi cung ứng, nơi một thành phần phần mềm cơ bản bị xâm phạm có thể lây lan và ảnh hưởng đến nhiều hệ thống khác.
Biện pháp Khắc phục và Phòng ngừa
Các quản trị viên hệ thống phải thực hiện hành động ngay lập tức để bảo mật môi trường của họ. Red Hat khuyến nghị mạnh mẽ người dùng ngừng hoàn toàn việc sử dụng các phiên bản Fedora Rawhide cho cả công việc và hoạt động cá nhân cho đến khi hệ thống được khôi phục hoàn toàn về phiên bản an toàn xz-5.4.x.
Đối với người dùng Fedora Linux 40 beta, một bản cập nhật khẩn cấp đã được phát hành để buộc hạ cấp xuống bản dựng 5.4.x. Người dùng openSUSE và Debian nên tham khảo các nhà bảo trì phân phối cụ thể của họ để biết các quy trình hạ cấp ngay lập tức.
Các nhóm bảo mật phải chủ động kiểm tra cơ sở hạ tầng của mình để tìm các phiên bản xz 5.6.0 và 5.6.1 và thay thế chúng mà không chậm trễ để ngăn chặn các vi phạm mạng tiềm ẩn. Việc cập nhật bản vá bảo mật là tối quan trọng.
Kiểm tra phiên bản XZ Utils
Để kiểm tra phiên bản XZ Utils trên hệ thống Linux, bạn có thể sử dụng lệnh sau:
xz --versionNếu kết quả hiển thị phiên bản 5.6.0 hoặc 5.6.1, hệ thống của bạn có nguy cơ bị ảnh hưởng bởi lỗ hổng CVE-2024-3094.
Hướng dẫn Khắc phục (ví dụ cho Fedora)
Đối với Fedora 40 beta, hãy đảm bảo bạn đã cài đặt bản cập nhật hạ cấp. Lệnh cập nhật thông thường sẽ xử lý việc này:
sudo dnf update --refreshĐối với Fedora Rawhide, Red Hat khuyến nghị ngừng sử dụng hoàn toàn và chuyển sang một môi trường an toàn hơn. Tham khảo chi tiết tại cảnh báo bảo mật khẩn cấp của Red Hat.
Việc nhanh chóng áp dụng các bản vá bảo mật và theo dõi các cảnh báo về lỗ hổng CVE mới là rất cần thiết để duy trì an ninh mạng cho hệ thống của bạn.
