Vulnerabilità CVE-2024-3094 (backdoor XZ) scoperta nella libreria di compressione dati Linux
Venerdì Red Hat ha emesso un avviso di sicurezza urgente riguardante due versioni dello strumento di compressione dati ampiamente utilizzato XZ Utils, precedentemente noto come LZMA Utils, che sono state compromesse con codice dannoso volto all'accesso remoto non autorizzato.
La falla di sicurezza, identificata come CVE-2024-3094 e valutata con un punteggio di gravità pari a 10,0, colpisce le versioni 5.6.0 (rilasciata il 24 febbraio) e 5.6.1 (rilasciata il 9 marzo) di XZ Utils.
Secondo Red Hat, il codice compromesso all'interno della libreria liblzma viene iniettato tramite un processo complesso durante la compilazione, consentendo l'intercettazione e la modifica delle interazioni dei dati. Nello specifico, il codice mira a manomettere il processo del demone sshd all'interno della suite software systemd, consentendo potenzialmente l'accesso non autorizzato al sistema in determinate condizioni.
La backdoor consente payload arbitrari tramite SSH
L'obiettivo finale di questa backdoor, come identificato da JFrog, è quello di iniettare codice nel server OpenSSH (SSHD) per consentire a specifici aggressori remoti con una particolare chiave privata di eseguire payload arbitrari tramite SSH prima dell'autenticazione, essenzialmente prendendo il controllo della macchina della vittima.
Il problema è stato portato alla luce dal ricercatore di sicurezza Microsoft Andres Freund, che ha identificato un codice dannoso fortemente offuscato introdotto attraverso una serie di commit nel repository GitHub del progetto Tukaani da un utente chiamato Jia Tan (JiaT75).
GitHub, di proprietà di Microsoft, è intervenuto disabilitando il repository XZ Utils a causa di una violazione dei suoi termini di servizio. Al momento non sono stati segnalati casi di sfruttamento attivo in natura.
I pacchetti interessati sono stati trovati solo in Fedora 41 e Fedora Rawhide, senza alcun impatto su altre distribuzioni come Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise e Leap e Ubuntu.