Компания Binarly выпустила бесплатный онлайн-сканер для обнаружения вредоносного вируса CVE-2024-3094.

Исследователи из фирмы по безопасности прошивки Binarly выпустили бесплатный онлайн сканер для обнаружения заглушки CVE-2024-3094 на прошлой неделе, инженер Майкрософт Андрес Фройнд обнаружил проблему с заглушкой в последних версиях инструментов и библиотек "xz". Уязвимость была отслежена как CVE-2024-3094 и получила оценку CVSS 10. Red Hat настоятельно рекомендует пользователям немедленно прекратить использование систем с запущенными версиями Fedora разработки и экспериментальными из-за заглушки.

XZ - популярный формат сжатия данных, реализованный в практически всех дистрибутивах Linux, включая как общественные, так и коммерческие варианты. Злонамеренный код, обнаруженный исследователями, скрыт и присутствует только в пакете для загрузки. В распределении Git не включается вредоносный код из-за отсутствия необходимой M4-макроса для запуска сборки вредоносного кода. Вредоносная сборка мешает аутентификации в sshd через systemd. При определенных условиях злоумышленник может скомпрометировать аутентификацию sshd и получить несанкционированный удаленный доступ ко всей системе.

Binarly создала бесплатный сканер для помощи отрасли в борьбе с угрозой, компания отмечает, что используемый ими метод обнаружения практически не дает ложноположительных результатов. Компания утверждает, что большинство инструментов, разработанных другими экспертами, сосредоточены на простых проверках версий, обнаружении заглушенного компонента на основе хэшей или правилах YARA уникальных строковых констант. Такие подходы для обнаружения заглушек могут привести к ложным срабатываниям.

"Для общего обнаружения таких имплантаций мы решили сосредоточиться на анализе поведения ifunc переходов с использованием нашей технологии Binary Intelligence. Метод обнаружения полностью основан на статическом анализе, где мы обнаруживаем обще перекрывающие управление графиком переходов" - говорится в сообщении, опубликованным компанией. "Такие методы обнаружения могут выявить возможное нарушение управления потоком во время имплантации злонамеренных ifunc-резольверов. Эта техника работает общим методом и сможет обнаружить инварианты или повторное использование полезной нагрузки в других атаках на цепи поставок программного обеспечения."

Сканер для обнаружения заглушки XZ доступен бесплатно на XZ.fail, пользователи могут загрузить свои двоичные файлы для проверки возможной имплантации вредоносной программы.