Backdoor identificada na biblioteca de compactação XZ

A gigante de TI disse que o código malicioso, que parece fornecer acesso backdoor remoto via OpenSSH e pelo menos systemd, está presente no xz 5.6.0 e 5.6.1. A vulnerabilidade foi designada CVE-2024-3094 . É classificado como 10 em 10 na gravidade do CVSS.

Os usuários do Fedora Linux 40 podem ter recebido a versão 5.6.0, dependendo do momento das atualizações do sistema, de acordo com a Red Hat. E os usuários do Fedora Rawhide, a atual versão de desenvolvimento do que se tornará o Fedora Linux 41, podem ter recebido o 5.6.1. O Fedora 40 e 41 ainda não foram lançados oficialmente; a versão 40 será lançada no próximo mês.

Usuários de outras distribuições Linux e sistemas operacionais devem verificar qual versão do pacote xz eles instalaram. As versões infectadas, 5.6.0 e 5.6.1, foram lançadas em 24 de fevereiro e 9 de março, respectivamente, e podem não ter sido incorporadas nas implantações de muitas pessoas.

Este comprometimento da cadeia de fornecimento pode ter sido detectado cedo o suficiente para evitar a exploração generalizada, e pode afetar principalmente distros de última geração que adquiriram as versões xz mais recentes imediatamente.

Debian Unstable e Kali Linux indicaram que são, como o Fedora, afetados; todos os usuários devem tomar medidas para identificar e remover quaisquer versões backdoor do xz.

“POR FAVOR, PARE IMEDIATAMENTE O USO DE QUALQUER INSTÂNCIA DE FEDORA para trabalho ou atividade pessoal”, gritou hoje o comunicado da subsidiária da IBM dos telhados. “O Fedora Rawhide será revertido para xz-5.4.x em breve e, uma vez feito isso, as instâncias do Fedora Rawhide poderão ser reimplantadas com segurança.”

O Red Hat Enterprise Linux (RHEL) não é afetado.

O código malicioso nas versões xz 5.6.0 e 5.6.1 foi ofuscado, diz a Red Hat, e só está totalmente presente no tarball do código-fonte. Os artefatos de segundo estágio no repositório Git são transformados em código malicioso por meio da macro M4 no repositório durante o processo de construção. A biblioteca xz envenenada resultante é usada involuntariamente por software, como o systemd do sistema operacional, após a biblioteca ter sido distribuída e instalada. O malware parece ter sido projetado para alterar a operação dos daemons do servidor OpenSSH que empregam a biblioteca via systemd.

“A compilação maliciosa resultante interfere na autenticação no sshd via systemd”, explica Red Hat. “SSH é um protocolo comumente usado para conexão remota a sistemas, e sshd é o serviço que permite o acesso.”

Esta interferência de autenticação tem o potencial de permitir que um criminoso obtenha acesso remoto não autorizado a um sistema afetado. Em resumo, o backdoor parece funcionar assim: máquinas Linux instalam a biblioteca backdoor xz – especificamente, liblzma – e essa dependência, por sua vez, é usada de alguma forma pelo daemon OpenSSH do computador. Nesse ponto, a biblioteca xz envenenada é capaz de interferir no daemon e potencialmente permitir a entrada de um criminoso não autorizado através da rede ou da Internet.

Como disse a Red Hat:

Nas circunstâncias certas, essa interferência poderia permitir que um agente mal-intencionado quebrasse a autenticação sshd e obtivesse acesso não autorizado a todo o sistema remotamente.

Uma postagem na lista de discussão de segurança Openwall feita por Andres Freund, desenvolvedor e commiter do PostgreSQL, explora a vulnerabilidade com mais detalhes.

“O backdoor inicialmente intercepta a execução substituindo os resolvedores ifunc crc32_resolve(), crc64_resolve() por um código diferente, que chama _get_cpuid(), injetado no código (que anteriormente seriam apenas funções estáticas embutidas). Em xz 5.6.1 o backdoor foi ainda mais ofuscado, removendo nomes de símbolos”, explica Freund, com a ressalva de que ele não é um pesquisador de segurança ou engenheiro reverso.

Freund especula que o código “parece permitir alguma forma de acesso ou outra forma de execução remota de código”.

O nome da conta associado aos commits ofensivos, juntamente com outros detalhes como a hora em que esses commits foram feitos, levaram à especulação de que o autor do código malicioso é um invasor sofisticado, possivelmente afiliado a uma agência estatal.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA já emitiu um comunicado aqui . ®