BlogNoticias

Inserido em: 01/04/2024

Backdoor encontrado na biblioteca XZ Utils, impacta grandes distribuições Linux

xz

A Red Hat divulgou na sexta-feira um “alerta de segurança urgente” alertando que duas versões de uma popular biblioteca de compactação de dados chamada XZ Utils (anteriormente LZMA Utils) foram “backdoored” com código malicioso projetado para permitir acesso remoto não autorizado.

O comprometimento da cadeia de suprimentos de software, rastreado como CVE-2024-3094, tem uma pontuação CVSS de 10,0, indicando gravidade máxima. Isso afeta as versões 5.6.0 (lançada em 24 de fevereiro) e 5.6.1 (lançada em 9 de março) do XZ Utils.

“Por meio de uma série de ofuscações complexas, o processo de construção da liblzma extrai um arquivo de objeto pré-construído de um arquivo de teste disfarçado existente no código-fonte, que é então usado para modificar funções específicas no código liblzma”, disse a subsidiária da IBM em um comunicado.

“Isso resulta em uma biblioteca liblzma modificada que pode ser usada por qualquer software vinculado a essa biblioteca, interceptando e modificando a interação de dados com essa biblioteca.”

Especificamente, o código nefasto incorporado ao código é projetado para interferir no processo de daemon sshd para SSH (Secure Shell) por meio do pacote de software systemd e potencialmente permitir que um agente de ameaça quebre a autenticação sshd e obtenha acesso não autorizado ao sistema remotamente “sob as circunstâncias certas”.

“O objetivo final do backdoor malicioso introduzido pelo CVE-2024-3094, é injetar código no servidor OpenSSH (SSHD) que é executado na máquina vítima e permitir que invasores remotos específicos (que possuem uma chave privada específica) enviem cargas arbitrárias através de SSH que serão executadas antes da etapa de autenticação, efetivamente sequestrando toda a máquina vítima, ” disse JFrog.

O engenheiro da Microsoft e desenvolvedor do PostgreSQL, Andres Freund, foi creditado por descobrir e relatar o problema na sexta-feira. Diz-se que o código malicioso fortemente ofuscado foi introduzido ao longo de uma série de quatro confirmações para o Projeto Tukaani no GitHub por um usuário chamado Jia Tan (JiaT75).

“Dada a atividade ao longo de várias semanas, o committer está diretamente envolvido ou houve algum comprometimento bastante severo de seu sistema”, disse Freund. “Infelizmente, esta última parece ser a explicação menos provável, dado que eles se comunicaram em várias listas sobre as ‘correções’.”

O GitHub, de propriedade da Microsoft, desativou o repositório XZ Utils mantido pelo Projeto Tukaani “devido a uma violação dos termos de serviço do GitHub”. Atualmente, não há relatos de exploração ativa.

Evidências mostram que os pacotes estão presentes apenas no Fedora 41 e Fedora Rawhide, e não afetam distros como Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise e Leap, e Ubuntu.

Por uma abundância de cautela, os usuários do Fedora Linux 40 foram recomendados a fazer o downgrade para uma compilação 5.4. Algumas das outras distribuições Linux afetadas pelo backdoor à cadeia de suprimentos estão abaixo:

  • Arch Linux (mídia de instalação 2024.03.01, imagens de máquina virtual 20240301.218094 e 20240315.221711 e imagens de contêiner criadas entre e incluindo 2024-02-24 e 2024-03-28)
  • Kali Linux (entre 26 e 29 de março)
  • openSUSE Tumbleweed e openSUSE MicroOS (entre 7 e 28 de março)
  • Versões de teste, instáveis e experimentais do Debian (de 5.5.1alpha-0.1 a 5.6.1-1

 

O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a emitir um alerta próprio sobre o backdoor, pedindo aos usuários que façam o downgrade do XZ Utils para uma versão não comprometida (por exemplo, XZ Utils 5.4.6 Stable).

 

Fonte: THN

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções