Allerta di sicurezza: la libreria XZ è stata colpita da codice dannoso che potrebbe consentire l’accesso non autorizzato al sistema

Allerta di sicurezza: la libreria XZ è stata colpita da codice dannoso che potrebbe consentire l’accesso non autorizzato al sistema

Andres Freund, uno sviluppatore PostgreSQL e ingegnere del software presso Microsoft, ha segnalato che il repository principale di XZ è stato compromesso con una backdoor che può colpire il software che si basa sulla libreria software liblzma. Questa compromissione può, a sua volta, influire sui login sicuri della shell sulle distribuzioni GNU/Linux che eseguono systemd.

La falla di sicurezza colpisce le versioni 5.6.0, rilasciata a fine febbraio, e 5.6.1, rilasciata il 9 marzo, delle librerie xz. Queste versioni compromesse ospitano codice dannoso in grado di aggirare l’autenticazione sshd, consentendo all’autore della minaccia di ottenere un controllo remoto completo sull’intero sistema.

Questa vulnerabilità, catalogata come CVE-2024-3094, rappresenta un grave rischio consentendo l’accesso remoto non autorizzato ai sistemi interessati.

Il codice dannoso all’interno di queste versioni interessate viene astutamente nascosto, con tecniche di offuscamento impiegate per mascherare la vera natura dell’exploit.

La scoperta è stata fatto dopo che Andres Freund aveva osservato alcuni strani sintomi relativi a liblzma (parte del pacchetto xz) sulle installazioni Debian Sid nelle ultime settimane (accessi con ssh che richiedono molta CPU, errori valgrind) e indagando ha capito a cosa era dovuto: il repository XZ e i tarball XZ sono risultati compromessi da una backdoor.

Andres Freund all’inizio ha pensato che il problema riguardasse solo il pacchetto Debian, ma successivamente si è scoperto essere un problema alla radice del repository di XZ.

La backdoor scovata influenza le sessioni OpenSSH su Debian e distribuzioni correlate, anche se OpenSSH non si basa su liblzma. Tuttavia Debian e molte altre distribuzioni GNU/Linux modificano OpenSSH per supportare la notifica di systemd e libsystemd che a loro volta dipendono da liblzma.

Quindi, quando si avvia un server OpenSSH, viene chiamata anche liblzma. Quando ciò accade, la funzione “RSA_public_decrypt” viene reindirizzata al codice malware che aggira l’autenticazione, fornendo così l’accesso diretto al sistema.

Incredibilmente, i risultati iniziali indicano che le modifiche dannose sono state inviate da un utente noto come JiaT75. È riconosciuto come uno dei 2 principali sviluppatori dietro la libreria XZ e vanta diversi anni di contributo allo sviluppo del progetto.

Allo stesso tempo, 2 giorni fa, un utente che si era appena iscritto a un sito di sviluppatori Ubuntu con il nome Jia Tan ha proposto di includere il pacchetto compromesso nei repository di Ubuntu, presentandolo come un aggiornamento di routine di correzione di bug. Fortunatamente, ciò non è accaduto.

Cos’è la libreria XZ in Linux?

La libreria XZ in Linux è una raccolta di utilità progettate per comprimere e decomprimere file in formato XZ. XZ è un formato e un software di compressione dati senza perdita che vanta un elevato rapporto di compressione, rendendolo un’opzione interessante per ridurre le dimensioni dei file per l’archiviazione o la trasmissione.

Il pacchetto XZ include in genere strumenti per la compressione come xz unxz o per la decompressione dei file come xz --decompress e vari altri strumenti per testare, confrontare e correggere i file nel formato XZ.

Queste utilità sono parte integrante della maggior parte delle distribuzioni GNU/Linux, poiché sono comunemente utilizzate per la gestione di file e archivi compressi. Gli amministratori di sistema e gli utenti utilizzano gli strumenti per attività che vanno dalla compressione dei file di registro per ridurre l’utilizzo dello spazio su disco alla distribuzione e installazione di pacchetti software che sono spesso compressi utilizzando il formato XZ.

Quali distribuzioni Linux sono interessate?

Ora, affrontiamo una preoccupazione cruciale: la distribuzione Linux che stai attualmente utilizzando è influenzata da CVE-2024-3094? Di seguito, abbiamo raccolto le ultime dichiarazioni ufficiali dei principali attori dell’ecosistema Linux.

Debian

Al momento non risulta che nessuna versione stabile di Debian sia interessata. I pacchetti compromessi facevano parte delle distribuzioni Debian testing, unstable e sperimentale, con versioni che vanno dalla 5.5.1alpha-0.1 (caricata il 01-02-2024), fino alla 5.6.1-1 inclusa. Il pacchetto è stato ripristinato per utilizzare il codice upstream 5.4.5, di cui abbiamo la versione 5.6.1+really5.4.5-1. Gli utenti che eseguono Debian testing e unstable sono invitati ad aggiornare i pacchetti xz-utils.

Fedora

In questo momento, è probabile che gli utenti di Fedora Rawhide abbiano ricevuto il pacchetto corrotto e gli utenti di Fedora Linux 40 Beta potrebbero aver ricevuto il pacchetto se hanno scelto di aggiornare dai repository di test. Gli utenti di Fedora Linux 40 Beta che utilizzano solo repository stabili NON sono interessati. Anche gli utenti Fedora Linux 39 e 38 NON sono interessati. PER FAVORE, INTERROMPI IMMEDIATAMENTE L’UTILIZZO DI FEDORA RAWHIDE  per lavoro o attività personale.

Red Hat

Nessuna versione di Red Hat Enterprise Linux (RHEL) è interessata.

ArcoLinux

I seguenti prodotti rilasciati contengono xz compromesso:

  • supporto di installazione 2024.03.01
  • immagini della macchina virtuale 20240301.218094 e 20240315.221711
  • immagini del contenitore create tra il 24-02-2024 e il 28-03-2024 inclusi

Questi sono stati rimossi dai nostri mirror. Sconsigliamo vivamente di utilizzarli e di scaricare invece la versione attualmente disponibile come ultima versione! Si consiglia vivamente di eseguire subito un aggiornamento completo del sistema se sul sistema è attualmente installata la versione xz 5.6.0-1 o 5.6.1-1.

SUSE/openSUSE

SUSE Linux Enterprise e Leap sono costruiti separatamente da openSUSE. Il codice, le funzionalità e le caratteristiche di Tumbleweed non vengono introdotte automaticamente in SUSE Linux Enterprise e/o Leap. È stato accertato che il file dannoso introdotto in Tumbleweed non è presente in SUSE Linux Enterprise e/o Leap.

I manutentori di openSUSE hanno ripristinato la versione di xz su Tumbleweed il 28 marzo e hanno rilasciato una nuova istantanea di Tumbleweed (20240328 o successiva) creata da un backup sicuro.

Devuan

Devuan non è interessato dall’ultima vulnerabilità causata da systemd. La backdoor dannosa in xz/liblzma è un vettore per lo sfruttamento remoto del demone ssh a causa della dipendenza da systemd per le notifiche e a causa della chiamata di systemd alla libreria liblzma dlopen()

Kali Linux

L’impatto di questa vulnerabilità ha colpito Kali tra il 26 marzo e il 29 marzo. Se hai aggiornato la tua installazione di Kali a partire dal 26 marzo, è fondamentale applicare gli ultimi aggiornamenti oggi.

Ultima ma non ultima

In conseguenza di tutto ciò, il repository centrale tukaani-project/xz su GitHub è stato ora disabilitato da GitHub con il messaggio:

L’accesso a questo repository è stato disabilitato dallo staff di GitHub a causa di una violazione dei termini di servizio di GitHub. Se sei il proprietario del repository, puoi contattare il supporto di GitHub per ulteriori informazioni.

La violazione del ToS (terms of service) è presumibilmente dovuta alla compromissione dell’accesso al commit principale. In ogni caso, un passo notevole data la confusione di notizie di oggi, anche se nello stato disabilitato, rende più difficile rintracciare altri cambiamenti potenzialmente problematici da parte dei malintenzionati con accesso ai dati della richiesta di unione e ad altre informazioni pertinenti bloccate.

Naturalmente seguiremo da vicino gli sviluppi e forniremo aggiornamenti man mano che la situazione evolve.

Fonte: https://www.openwall.com/lists/oss-security/2024/03/29/4
Fonte: https://www.phoronix.com/news/GitHub-Disables-XZ-Repo
Fonte: https://www.marcosbox.org/2024/03/allerta-di-sicurezza-xz-colpito-da-backdoor.html
Fonte: https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

Visited 41 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.