Het Digital Trust Center ontdekte een ernstige kwetsbaarheid in software van Linux. De overheidsinstelling vond een achterdeur in de software library liblzma van XZ Utils.
XZ Utils in een datacompressieapplicatie die in veel versies (distributies) van het besturingssysteem Linux voorkomt. De kwetsbaarheid wordt aangeduid als CVE-2024-3094 en heeft een CVSS-score van 10 gekregen. Dit is de hoogst mogelijke CVSS-score. Het Nationaal Cyber Security Centrum (NCSC) duidt de kwetsbaarheid aan als High/High. Er is dus een grote kans dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
Wat is er aan de hand?
De kwetsbaarheid betreft een achterdeur in de software die door een aanvaller gebruikt kan worden om zonder inloggegevens toegang te krijgen tot een systeem. Het is nog onduidelijk wat er precies nodig is voor het omzeilen van authenticatie, de verwachting is wel dat misbruik of een exploit binnenkort plaatsvindt. De code die deze achterdeur mogelijk maakt zit verscholen in bepaalde versies (5.6.0 en 5.6.1) van de software XZ Utils. Deze software is in veel verschillende Linux-versies aanwezig. Op dit moment lijkt het erop dat kwetsbare versies van XZ Utils nog niet zijn opgenomen in de meest gangbare ‘productie’ versies van verschillende Linux-distributies.
Wat kan ik doen?
Maak je in je organisatie gebruik van Linux dan adviseert het Digital Trust Center (DTC) om zo snel mogelijk te (laten) controleren of de kwetsbaarheid in het systeem aanwezig en eventueel gebruik wordt. Zie hiervoor de (beveiliging)adviezen van de verschillende distributies waaronder Red Hat en Debian. Het is ook mogelijk om zelf met het volgende commando na te gaan of, en zo ja welke, versie van XZ Utils geïnstalleerd staat:
xz -V.
Voorbeeld:
root@srv:~# xz -V
xz (XZ Utils) 5.4.2
liblzma 5.4.2
Als blijkt dat je gebruikmaakt van een kwetsbare versie (5.6.0 en 5.6.1) van XZ Utils dan is het advies om zo spoedig mogelijk deze versies te (laten) verwijderen en gebruik te maken van een oudere versie (downgraden).
Lees ook:
- Inzicht in de risico’s van een cloudlandschap
- CNCF en LF Training onthullen vier nieuwe cloud native cursussen