Urgente: backdoor segreta trovata nella libreria XZ Utils, ha un impatto sulle principali distribuzioni Linux

RedHat venerdì ha rilasciato un "avviso di sicurezza urgente" avvertendo che due versioni di una popolare libreria di compressione dati chiamata XZ Utils (precedentemente LZMA Utils) sono state sottoposte a backdoor con codice dannoso progettato per consentire l'accesso remoto non autorizzato.

La compromissione della catena di fornitura del software, tracciata come CVE-2024-3094 , ha un punteggio CVSS di 10,0, che indica la massima gravità. Ha effetto sulle versioni 5.6.0 di XZ Utils (rilasciata il 24 febbraio) e 5.6.1 (rilasciata il 9 marzo).

"Attraverso una serie di complessi offuscamenti, il processo di compilazione di liblzma estrae un file oggetto precostruito da un file di test mascherato esistente nel codice sorgente, che viene poi utilizzato per modificare funzioni specifiche nel codice liblzma", ha affermato la filiale IBM in un avviso.

"Ciò si traduce in una libreria liblzma modificata che può essere utilizzata da qualsiasi software collegato a questa libreria, intercettando e modificando l'interazione dei dati con questa libreria."

Nello specifico, il codice nefasto inserito nel codice è progettato per interferire con il processo del demone sshd per SSH (Secure Shell) tramite la suite software systemd e potenzialmente consentire a un autore di minacce di violare l'autenticazione sshd e ottenere accesso non autorizzato al sistema da remoto "sotto le giuste circostanze."

Il ricercatore di sicurezza Microsoft Andres Freund è stato accreditato di aver scoperto e segnalato il problema venerdì. Si dice che il codice dannoso fortemente offuscato sia stato introdotto nel corso di una serie di quattro commit nel progetto Tukaani su GitHub da un utente chiamato JiaT75.

 

"Considerando l'attività di diverse settimane, il committente o è direttamente coinvolto oppure c'è stata una compromissione piuttosto grave del suo sistema," ha detto Freund . "Purtroppo quest'ultima sembra la spiegazione meno probabile, dato che hanno comunicato le 'correzioni' in vari elenchi."

GitHub di proprietà di Microsoft da allora ha disabilitato il repository XZ Utils gestito dal progetto Tukaani "a causa di una violazione dei termini di servizio di GitHub". Al momento non ci sono segnalazioni di sfruttamento attivo in natura.

Le prove mostrano che i pacchetti sono presenti solo in Fedora 41 e Fedora Rawhide e non hanno alcun impatto su Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux e SUSE Linux Enterprise e Leap.

Per estrema cautela, agli utenti di Fedora Linux 40 è stato consigliato di effettuare il downgrade alla build 5.4. Di seguito sono riportate alcune delle altre distribuzioni Linux colpite dall'attacco alla catena di fornitura:

• Kali Linux (tra il 26 e il 29 marzo)
• openSUSE Tumbleweed e openSUSE MicroOS (tra il 7 e il 28 marzo)
• Versioni Debian testing, unstable e sperimentale (da 5.5.1alpha-0.1 a 5.6.1-1)

Lo sviluppo ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a emettere un avviso , invitando gli utenti a eseguire il downgrade di XZ Utils a una versione non compromessa (ad esempio, XZ Utils 5.4.6 Stable).