Red Hat avvisa della presenza di backdoor negli strumenti XZ utilizzati dalla maggior parte delle distribuzioni Linux

Oggi, Red Hat ha avvertito gli utenti di smettere immediatamente di usare i sistemi che eseguono versioni di sviluppo e sperimentali di Fedora a causa di una backdoor trovata negli ultimi strumenti e librerie di compressione dati di XZ Utils.

"SI PREGA DI INTERROMPERE IMMEDIATAMENTE L'UTILIZZO DI QUALSIASI ISTANZA FEDORA 41 O FEDORA RAWHIDE per lavoro o attività personale", ha avvertito Red Hat venerdì.

"Nessuna versione di Red Hat Enterprise Linux (RHEL) è interessata.

Abbiamo rapporti e prove delle iniezioni create con successo nelle versioni xz 5.6.x create per Debian unstable (Sid). Anche altre distribuzioni potrebbero essere interessate."

Il team di sicurezza di Debian ha anche emesso un avviso avvertendo gli utenti del problema.

L'avviso afferma che nessuna versione stabile di Debian utilizza i pacchetti compromessi e che XZ è stato ripristinato al codice upstream 5.4.5 sulle distribuzioni Debian testing, unstable e sperimentali interessate.

Anche Kali Linux, openSUSE e Arch Linux hanno pubblicato avvisi di sicurezza e versioni invertite nelle versioni successive interessate.

Gli amministratori Linux possono verificare quale versione di XZ è installata interrogando il proprio gestore pacchetti o eseguendo il seguente script di shell condiviso dal ricercatore di sicurezza informatica Kostas.

for xz_p in $(type -a xz | awk '{print }' | uniq); esegui le stringhe "" | grep "xz (XZ Utilis)" || echo "Nessuna corrispondenza trovata per ";

Lo script precedente eseguirà il comando 'strings' su tutte le istanze dell'eseguibile xz e restituirà la sua versione incorporata. L'utilizzo di questo comando consente di determinare la versione senza eseguire l'eseguibile backdoor.

Se utilizzi le versioni 5.6.0 o 5.6.1, ti consigliamo di eseguire immediatamente il downgrade alle versioni precedenti che non contengono il codice dannoso.

L'ingegnere del software Microsoft Andres Freund ha scoperto il problema di sicurezza mentre indagava sugli accessi SSH lenti su un box Linux che esegue Debian Sid (la versione di sviluppo progressivo della distribuzione Debian).

Tuttavia, non ha trovato lo scopo esatto del codice dannoso aggiunto alla libreria di compressione dati liblzma nelle versioni XZ 5.6.0 e 5.6.1 dal collaboratore Jia Tan (JiaT75).

"Non ho ancora analizzato con precisione cosa viene controllato nel codice inserito, per consentire l'accesso non autorizzato.

Dato che viene eseguito in un contesto di pre-autenticazione, sembra probabile che consenta qualche forma di accesso o altra forma di esecuzione di codice remoto, ", ha detto Freund.

"Inizialmente l'avvio di sshd al di fuori di systemd non ha mostrato rallentamenti, nonostante la backdoor sia stata richiamata brevemente.

Questo sembra essere parte di alcune contromisure per rendere più difficile l'analisi."

Il codice dannoso è offuscato e può essere trovato solo nel pacchetto di download completo, non nella distribuzione Git, dove manca la macro M4, che attiva il processo di creazione della backdoor.

Se la macro dannosa è presente, gli artefatti della seconda fase trovati nel repository Git vengono inseriti durante la fase di compilazione.

"La build dannosa risultante interferisce con l'autenticazione in sshd tramite systemd. SSH è un protocollo comunemente utilizzato per la connessione remota ai sistemi e sshd è il servizio che consente l'accesso", ha affermato Red Hat.

"Nelle giuste circostanze questa interferenza potrebbe potenzialmente consentire a un utente malintenzionato di violare l'autenticazione sshd e ottenere accesso non autorizzato all'intero sistema da remoto."

CISA ha inoltre pubblicato oggi un avviso che avvisa gli sviluppatori e gli utenti di eseguire il downgrade a una versione XZ senza compromessi (ovvero, 5.4.6 Stabile) e di cercare qualsiasi attività dannosa o sospetta sui loro sistemi.