Vulnerabilità CVE-2024-3094 (backdoor XZ)
Gli analisti della sicurezza hanno recentemente scoperto una vulnerabilità critica con ripercussioni potenzialmente devastanti. Secondo un avviso urgente sulla sicurezza, due iterazioni dello strumento di compressione dati ampiamente utilizzato, XZ Utils (precedentemente noto come LZMA Utils), sono state compromesse con codice dannoso. Questo codice consente l'accesso remoto non autorizzato ai sistemi interessati.
Questa violazione della sicurezza, identificata come CVE-2024-3094, è valutata con un punteggio CVSS di 10,0, che indica il livello di gravità più elevato. Interessa le versioni 5.6.0 (rilasciata il 24 febbraio 2024) e 5.6.1 (rilasciata il 9 marzo 2024) di XZ Utils.
L'exploit comporta una sofisticata manipolazione del processo di compilazione di liblzma. Nello specifico, un file oggetto precostruito viene estratto da un file di test mascherato all'interno del codice sorgente. Questo file oggetto viene quindi utilizzato per alterare funzioni specifiche all'interno del codice liblzma, perpetuando la compromissione.
Sommario
La vulnerabilità CVE-2024-3094 consente agli aggressori di inviare payload arbitrari
Il processo minaccioso porta a una versione modificata della libreria liblzma, in grado di intercettare e alterare le interazioni dei dati con qualsiasi software che la utilizza.
Più precisamente, il codice dannoso incorporato nella libreria è creato per interrompere il processo del demone sshd, un componente di SSH (Secure Shell), attraverso la suite software systemd. Questa manipolazione garantisce potenzialmente a un autore della minaccia la possibilità di compromettere l'autenticazione sshd e accedere illecitamente al sistema da remoto, a condizione che vengano soddisfatte determinate condizioni.
Lo scopo finale della backdoor dannosa introdotta da CVE-2024-3094 è iniettare codice nel server OpenSSH (SSHD) in esecuzione sulla macchina vittimizzata. Ciò consentirebbe a specifici aggressori remoti, in possesso di una particolare chiave privata, di inviare payload arbitrari tramite SSH. Questi payload verrebbero eseguiti prima della fase di autenticazione, prendendo di fatto il controllo dell’intero sistema vittimizzato.
La vulnerabilità CVE-2024-3094 è stata probabilmente introdotta intenzionalmente da un soggetto coinvolto in attività fraudolente
Il codice dannoso, intricato e nascosto, sembra essere stato integrato attraverso una sequenza di quattro commit nel progetto Tukaani su GitHub da un utente identificato come Jia Tan (JiaT75).
Considerando l'attività sostenuta nell'arco di diverse settimane, ciò suggerisce che il committente sia direttamente implicato o abbia subito una compromissione significativa del proprio sistema. Tuttavia, quest'ultimo scenario sembra meno plausibile, dato il loro impegno su vari forum riguardo alle presunte "correzioni".
GitHub, ora di proprietà di Microsoft, è intervenuto disattivando il repository XZ Utils gestito dal progetto Tukaani, citando una violazione dei termini di servizio di GitHub. Fino ad ora non ci sono state segnalazioni di sfruttamento attivo in natura.
Le indagini indicano che questi pacchetti compromessi si trovano esclusivamente nelle distribuzioni Fedora 41 e Fedora Rawhide. Altre importanti distribuzioni come Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise e Leap e Ubuntu non sono interessate da questo problema di sicurezza.
Mitigazione della vulnerabilità della backdoor CVE-2024-3094
Agli utenti di Fedora Linux 40 è stato consigliato di ripristinare la build 5.4. Inoltre, diverse altre distribuzioni Linux sono state colpite dall'attacco alla catena di fornitura, tra cui:
Arch Linux (supporto di installazione 2024.03.01, immagini della macchina virtuale 20240301.218094 e 20240315.221711 e immagini del contenitore create tra il 24 febbraio 2024 e il 28 marzo 2024)
- Kali Linux (tra il 26 marzo e il 29 marzo)
- openSUSE Tumbleweed e openSUSE MicroOS (tra il 7 e il 28 marzo)
- Versioni Debian testing, unstable e sperimentale (da 5.5.1alpha-0.1 a 5.6.1-1)
Questo sviluppo ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a emettere un proprio avviso, consigliando agli utenti di ripristinare XZ Utils a una versione non interessata dal compromesso, come XZ Utils 5.4.6 Stable.
