Red Hat ha rilasciato un avviso urgente agli utenti, consigliando di cessare immediatamente l’utilizzo dei sistemi che eseguono versioni di sviluppo e sperimentali di Fedora, a causa di una backdoor scoperta negli ultimi strumenti e librerie di compressione dati XZ Utils.
Dettagli della vulnerabilità
Questa vulnerabilità, identificata con CVE-2024-3094 e valutata con un punteggio di gravità critico di 10/10, non riguarda le versioni di Red Hat Enterprise Linux (RHEL), ma ha colpito le versioni di XZ 5.6.x costruite per Debian unstable (Sid).
Debian ha anche emesso un avviso di sicurezza, assicurando che nessuna delle versioni stabili di Debian utilizza i pacchetti compromessi e che XZ Utils è stato ripristinato al codice sorgente 5.4.5 nelle distribuzioni Debian testing, unstable e experimental interessate.
La backdoor è stata scoperta dall’ingegnere software di Microsoft Andres Freund durante l’analisi di un problema di prestazioni di Postgres su un sistema Linux che eseguiva Debian Sid. La backdoor aggiunta nelle versioni 5.6.0 e 5.6.1 di XZ sembra consentire qualche forma di accesso non autorizzato o esecuzione remota di codice.
Misure di prevenzione
In risposta a questa minaccia, Red Hat ha revertito alle versioni 5.4.x di XZ in Fedora 40 beta. La backdoor, che interessa l’autenticazione di sshd tramite systemd, potrebbe potenzialmente consentire a un attore malintenzionato di eludere l’autenticazione di sshd e ottenere accesso non autorizzato all’intero sistema da remoto.
CISA ha pubblicato un avviso, consigliando agli sviluppatori e agli utenti di retrocedere a una versione non compromessa di XZ (ad esempio, 5.4.6 Stable) e di monitorare eventuali attività sospette o malevole sui loro sistemi.
