Distribuições Linux são afetadas por backdoor no XZ Utils – CISO Advisor
As principais distribuições do Linux foram afetadas por um ataque à cadeia de suprimentos envolvendo a biblioteca de compactação e descompactação de arquivos XZ Utils realizado por uma backdoor introduzida no pacote de download tarball na versão 5.6.0 da XZ Utils, lançada em fevereiro. A versão 5.6.1 foi lançada logo depois com código malicioso atualizado que incluía ofuscação adicional e correções para erros que ocorrem em algumas configurações.
O autor da backdoor era o mantenedor da biblioteca de código aberto e passou anos desenvolvendo o comprometimento do software. Em 28 de março, Andres Freund, principal engenheiro de software da Microsoft e um dos desenvolvedores do PostgreSQL, encontrou uma vulnerabilidade no liblzma, pacote de software que faz parte do XZ Utils. Ele percebeu falhas nos logins do Secure Shell (SSH) usando uma quantidade substancial de unidade central de processamento (CPU), juntamente com um atraso maior do que o normal de 500 milissegundos em sua sessão SSH.
Freund rapidamente compartilhou suas descobertas com a comunidade de código aberto, inclusive por meio de mensagens aos mantenedores da distribuição Linux Debian e da lista de discussão de código aberto oss-security@openwall. Ele também divulgou a notícia nas redes sociais.
A biblioteca XZ Utils é usada em quase todas as instalações de sistemas operacionais Linux e outros sistemas operacionais semelhantes ao Unix. Ele atua como um “zíper” de dados, reduzindo os arquivos para economizar espaço de armazenamento e largura de banda.
De acordo com um relatório da empresa de segurança para crowdsourcing Bugcrowd, todos os usuários de sistemas operacionais que executam as versões 5.6.0 e 5.6.1 do XZ Utils serão afetados. Isso inclui:
• Distribuições Linux que adotaram essas versões mais recentes, incluindo Fedora 41 e Rawhide, e possivelmente algumas versões do macOS;
• Ramos de testes, instáveis e experimentais do Debian;
• Usuários do Kali Linux que atualizaram seu sistema operacional entre 26 e 29 de março de 2024.
Outros sistemas instáveis baseados em Linux, como o SUSE e o Arch Linux, também podem ser afetados. Algumas distribuições Linux já indicaram que não foram afetadas, entre elas o Ubuntu, Alpino Linux, Amazon Linux, Red Hat Enterprise Linux, Gentoo e Linux Mint.
Veja isso
Red Hat alerta sobre backdoor em ferramentas XZ usadas no Linux
Malware para Linux mira servidor em nuvem mal configurado
A descoberta foi feita poucas semanas antes de a backdoor ser incluído na versão mais recente do Debian e do Red Hat, as duas maiores distribuições do Linux. A Red Hat rastreia o problema como CVE-2024-3094 e lhe atribuiu gravidade 10 no sistema de pontuação comum de vulnerabilidades (CVSS).
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA emitiu um comunicado que instou as organizações que usam distribuições Linux afetadas a fazer o downgrade de seus utilitários XZ para uma versão anterior e relatar qualquer atividade potencial relacionada ao backdoor. O Debian reverteu sua próxima versão (5.6.1) e introduziu a versão 5.6.1+, que é baseada na versão 5.4.5.
“Os usuários do XZ Utils devem fazer o downgrade para uma versão mais antiga do utilitário imediatamente (ou seja, qualquer versão anterior à 5.6.0) e atualizar suas instalações e pacotes de acordo com as instruções do mantenedor da distribuição”, alertou a empresa de segurança Rapid7 em um relatório.
A notícia da backdoor no XZ Utils foi um choque para a maioria da comunidade de código aberto.
Acesse o relatório completo (em inglês) Bugcrowd sobre a backdoor no XZ Utils clicando aqui.