Recenti scoperte hanno evidenziato la presenza di codice malevolo inserito nella libreria open-source XZ Utils, utilizzata in molte principali distribuzioni Linux. Questa backdoor, tracciata come CVE-2024-3094, ha un punteggio CVSS di 10.0, indicando una minaccia critica. Iniziata come una sottile compromissione della catena di fornitura, la backdoor consente agli aggressori remoti di bypassare l’autenticazione SSH e ottenere accesso completo ai sistemi compromessi.
Il codice dannoso sembra essere stato introdotto da un manutentore del progetto di nome Jia Tan in un attacco attentamente pianificato. Le alterazioni sono state fatte per eludere i protocolli di autenticazione e permettere l’esecuzione remota di codice arbitrario. L’aggiornamento affetto da questa backdoor è stato distribuito con le versioni 5.6.0 e 5.6.1 di XZ Utils.
Parallelamente, Red Hat ha emesso un avviso di sicurezza per gli utenti di Fedora Linux 40, Fedora Linux 41 e Fedora Rawhide, avvisando del difetto di sicurezza in XZ Utils che potrebbe consentire l’accesso remoto non autorizzato via SSH. Questa vulnerabilità non sembra influenzare le release di Red Hat Enterprise Linux, ma riguarda altre distribuzioni che includono le versioni compromesse di XZ Utils.
Per gli utenti di Fedora Linux 40 beta, è disponibile un aggiornamento che riporta il pacchetto XZ alla versione 5.4.x, esente dalla vulnerabilità. È stato consigliato di non aggiornare le installazioni che includono la versione sicura 5.4.6 di XZ, dato che gli aggiornamenti automatici potrebbero installare la versione compromessa 5.6.0.
Questo incidente mette in luce i rischi associati al software open-source e alla gestione dei progetti volontari. È fondamentale per le organizzazioni adottare strumenti e processi che permettano di identificare segni di manomissione e caratteristiche malevole sia nel codice open-source che in quello commerciale usato nei loro processi di sviluppo.
Backdoor in xz-utils: Come Iniziare
Kali Linux ha pubblicato un post sul blog per guidare gli utenti nell’installazione e nel test della versione di liblzma contenente una backdoor. Questo post è rivolto a coloro che vogliono verificare la presenza della backdoor seguendo alcuni semplici passaggi.
Configurazione dell’Ambiente
Per testare la backdoor, è necessario impostare una macchina virtuale (VM) con Kali Linux. È possibile scaricare un’immagine pre-costruita dalla pagina di download di Kali Linux, sia l’attuale release 2024.1 che l’immagine settimanale più recente. Dopo aver avviato la VM, sarà necessario scaricare e installare una versione di liblzma che contenga la backdoor. Sebbene il pacchetto sia stato rimosso dalle distribuzioni Linux, è ancora disponibile online, ad esempio, attraverso il servizio snapshot di Debian.
Verifica della Compromissione di liblzma
Per confermare se la versione di liblzma contiene la backdoor, si può utilizzare uno script fornito nella divulgazione iniziale. Il comando hexdump -ve '1/1 "%.2x"' <<file>> converte un file in forma esadecimale, e lo script cerca una specifica sequenza esadecimale che indica la presenza della backdoor.
Testare la lentezza del Demone SSH
Per questo test, è necessario disabilitare l’autenticazione tramite password nel demone SSH. Poi, si tenta di accedere via SSH come un utente inesistente e si misura il tempo impiegato. Senza la backdoor, l’accesso dovrebbe risultare notevolmente più rapido.
Il blog post fornisce una guida dettagliata su come configurare un ambiente per testare la backdoor in liblzma e come eseguire i primi comandi per verificarne la presenza. Gli utenti interessati possono seguire questi passaggi per comprendere meglio la situazione e l’impatto della backdoor.
