Backdoor inserita all'interno del package di XZ-Utils
04/05/2024
PROTO: N240405
CERT-Yoroi informa che è stata resa nota una vulnerabilità critica sul prodotto software “XZ Utils” nota con l’identificativo CVE-2024-3094.
“XZ Utils” è una collezione di programmi open source per la compressione e la decompressione dei dati utilizzando l'algoritmo di compressione LZMA/LZMA2. Tale software è ampiamente utilizzato nel mondo Unix e Linux per comprimere file e archivi, offrendo una combinazione di velocità e riduzione delle dimensioni dei file.
Tale vulnerabilità è il risultato di una compromissione del package 'xz-utils', che causa anche una situazione di tipo Supply Chain Attack, e può consentire ad utente malintenzionato l’accesso non autorizzato ai sistemi target mediante l’attivazione di una backdoor contenuta nelle versioni malevole 5.6.0 e 5.6.1 di XZ Utils. In particolare, tale backdoor sembrerebbe alterare le funzionalità del daemon “sshd”, il file binario che gestisce il funzionamento di SSH.
Il codice malevolo è stato scoperto nelle “upstream tarballs” di XZ, ovvero le versioni sorgente ufficiali, a partire dalla versione 5.6.0. Attraverso una serie di complessi processi di offuscamento, il build process “liblzma”, una libreria di compressione dati, estrae un file oggetto precostruito da un file di test mascherato presente nel codice sorgente, che viene successivamente utilizzato per modificare funzioni specifiche nel codice liblzma. Ciò si traduce in una libreria liblzma modificata che può essere utilizzata da qualsiasi software collegato a essa, permettendo l'intercettazione e la modifica dell'interazione dei dati con tale libreria.
L’injection malevola riscontrata nelle librerie XZ delle versioni 5.6.0 e 5.6.1 è presente esclusivamente nel package di download del tarball. Nella Git distribution è assente la macro M4 che attiva la generazione del codice dannoso. Gli artefatti della seconda fase sono inclusi nel Git repository per l'injection durante la fase di compilazione, nel caso in cui sia presente la macro M4 dannosa. Senza il merge nella build, il 2nd-stage file è innocuo. Durante la dimostrazione, è stato scoperto che tale codice interferiva con il daemon OpenSSH. Sebbene OpenSSH non sia direttamente collegato alla libreria liblzma, comunica con systemd, il che espone il sistema al malware a causa del collegamento tra systemd e liblzma.
Nelle giuste circostanze, questa interferenza potrebbe potenzialmente consentire a un utente malintenzionato di violare l’autenticazione sshd e ottenere l’accesso non autorizzato all’intero sistema da remoto.
In aggiunta, HomeBrew package manager sta forzando i downgrade alla versione 5.4.6. Non vi sono evidenze di build Homebrew compromesse, tuttavia, è stata intrapresa questa azione in via precauzionale. Mentre Amazon ha dichiarato che i customer Amazon Linux non sono interessati da questa vulnerabilità e di conseguenza non è richiesta alcuna azione.
Le versioni 5.6.0 (rilasciata il 24 febbraio) e 5.6.1 (rilasciata il 9 marzo) di XZ Utils sono afflitte da tale vulnerabilità.
Risultano afflitte le seguenti tecnologie presenti all'interno della seguente tabella. NB: Tutte le derivate di tali prodotti sono da considerarsi compromesse.
| Distro | Affected Version |
| Red Hat | Fedora Linux 40 and Fedora Rawhide |
| Debian | Nessuna versione di Debian stable è nota per essere interessata. I pacchetti compromessi facevano parte di Debian testing, unstable e experimental distributions, con versioni che vanno da 5.5.1alpha-0.1 (caricato il 01-02-2024), fino a 5.6.1-1 incluso. |
| Kali | L'impatto di questa vulnerabilità affligge Kali tra il 26 e il 29 marzo. In caso di aggiornamento dell’installazione di Kali a partire dal 26 marzo, è fondamentale applicare gli ultimi aggiornamenti oggi per risolvere questo problema. Tuttavia, coloro che non hanno aggiornato l'installazione di Kali prima del 26 marzo non sono interessati a questa vulnerabilità backdoor. |
| OpenSUSE | OpenSUSE Tumbleweed e OpenSUSE Micro OS tra il 7 e il 28 marzo 2024. |
| Alpine | Versioni 5.6 precedenti alla 5.6.1-r2 |
| Arch | Installazioni medium 2024.03.01 Virtual machine images 20240301.218094 e 20240315.221711 Immagini dei Container create tra il 24-02-2024 e il 28-03-2024 inclusi |
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Riferimenti Esterni
- https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- https://access.redhat.com/security/cve/CVE-2024-3094?extIdCarryOver=true&sc_cid=701f2000001OH7EAAW
- https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html
- https://unit42.paloaltonetworks.com/threat-brief-xz-utils-cve-2024-3094/
