Un employé de Microsoft sauve accidentellement l’effondrement mondial de Linux grâce à la porte dérobée CVE-2024-3094 XZ

Aujourd’hui, Microsoft a publié ses conseils et avis concernant la vulnérabilité de porte dérobée XZ Utils, identifiée comme CVE-2024-3094. Cette faille de sécurité a un score CVSS de 10,0 et pourrait potentiellement avoir un impact sur un certain nombre de distributions Linux, notamment Fedora, Kali Linux, OpenSUSE et Alpine, avec des conséquences mondiales importantes.

Heureusement, Andres Freund, un développeur Microsoft Linux, est tombé sur la vulnérabilité juste à temps. Il était devenu curieux du délai de 500 ms dans les connexions du port SSH (Secure Shell) et a décidé d’enquêter plus en profondeur, révélant finalement une porte dérobée malveillante cachée dans le compresseur de fichiers XZ.

À l’heure actuelle, VirtusTotal n’a identifié que quatre fournisseurs de sécurité, dont Microsoft, sur un total de 63, qui détectent avec précision l’exploit comme étant malveillant.

Le sens aigu de l’observation de l’ingénieur de Microsoft mérite donc d’être reconnu dans cette situation, car il est probable que d’autres n’auraient pas pris le temps d’enquêter. Cet événement souligne également la vulnérabilité des logiciels open source face à une exploitation par des individus malveillants.

Si vous êtes inquiet, sachez que les versions 5.6.0 et 5.6.1 de XZ Utils ont été compromises. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) recommande d’utiliser les versions précédentes et sécurisées.

Conformément aux directives recommandées, les utilisateurs peuvent confirmer la présence de logiciels vulnérables sur un système en exécutant la commande suivante en SSH avec les privilèges d’administrateur :


xz --version

En outre, des outils d’analyse et de détection tiers sont également disponibles. Les sociétés de recherche en sécurité Qualys et Binarly ont rendu publics leurs propres outils de détection et d’analyse, permettant aux utilisateurs de déterminer si leur système a été affecté.

La dernière version de VULNSIGS, 2.6.15-6, a été publiée par Qualys et la vulnérabilité a été identifiée comme « 379548 » sous le QID (Qualys Vulnerability Detection ID).

De plus, Binarly a récemment lancé un scanner de porte dérobée XZ gratuit. Cet outil est conçu pour identifier toute version compromise de XZ Utils et affichera une notification de détection « Implant malveillant XZ » lors de la détection.

Des informations techniques supplémentaires sur la vulnérabilité peuvent être trouvées sur les sites Web de Binarly et de Qualys. Les deux sociétés ont publié des articles traitant du casse-tête de la chaîne d’approvisionnement XZ Utils et de la porte dérobée CVE-2024-3094.