Zranitelnost CVE-2024-3094 v XZ Tools

Abstract

Vzdálené ovládání serverů je v dnešním technologickém světě nezbytné. Tato funkcionalita závisí na softwarových řešeních, která jsou ze své podstaty navržena s důrazem na bezpečnost. V roce 2024 byla v open source projektu XZ Utils objevena zadní vrátka, která kompromitovala jedno z takových řešení prostřednictvím útoku na dodavatelský řetězec a útočníkovi umožnila tak převzít kontrolu nad zasaženými servery. Tato práce se zabývá daným incidentem, nejprve rozebírá výhody a nevýhody open source, poté přechází k analýze samotných zadních vrátek. Popisuje, jak útočník úspěšně začlenil zadní vrátka do projektu XZ a jak tato vrátka fungují, přičemž jejich chování se pokouší demonstrovat. Práce poskytuje ucelené shrnutí útoku s odstupem jednoho roku od jeho odhalení, přičemž zohledňuje i nové poznatky a vývoj.

Remote control of servers is essential in today's technological world. This functionality depends on software solutions that, by design, place a strong emphasis on security. In 2024, a backdoor was discovered in the open source project XZ Utils, which compromised one such solution via a supply chain attack, granting control over affected servers. This thesis examines the incident, beginning by discussing the advantages and disadvantages of open source before moving on to the analysis of the backdoor. It analyzes how the attacker successfully injected the backdoor into the XZ project and how the backdoor operates, which it then attempts to demonstrate. The thesis provides a comprehensive summary of the attack one year after its discovery, incorporating recent findings and developments.