Allerta di sicurezza: XZ colpito da codice dannoso che potrebbe consentire l'accesso non autorizzato al sistema da remoto

Foto di Darwin Laganzon da Pixabay

 

Il ricercatore in ambito sicurezza Andres Freund ha segnalato che il repository upstream di XZ è stato compromesso con una backdoor che può colpire il software che si basa sulla libreria software liblzma. Questa compromissione può, a sua volta, influire sui login sicuri della shell sulle distribuzioni che eseguono systemd. (vulnerabilità CVE-2024-3094).

 

Cosa è XZ?

xz è un formato di compressione dati di uso generale presente in quasi tutte le distribuzioni Linux, sia nei progetti comunitari che nelle distribuzioni commerciali. Essenzialmente, aiuta a comprimere (e poi a decomprimere) i formati di file di grandi dimensioni in dimensioni più piccole e gestibili per la condivisione.

 

Cosa fa la versione affetta da backdoor?

La versione dannosa risultante interferisce con l'autenticazione in sshd tramite systemd.  SSH è un protocollo comunemente usato per connettersi in remoto ai sistemi e sshd è il servizio che consente l'accesso.  Nelle giuste circostanze, questa interferenza potrebbe potenzialmente consentire a un malintenzionato di violare l'autenticazione sshd e ottenere l'accesso non autorizzato all'intero sistema da remoto.

 

Come è stata scoperta la backdoor?

La scoperta è stata fatto dopo che Andres Freund aveva osservato alcuni strani sintomi relativi a liblzma (parte del pacchetto xz) sulle installazioni Debian Sid nelle ultime settimane (accessi con ssh che richiedono molta CPU, errori valgrind) e indagando ha capito a cosa era dovuto: il repository XZ e i tarball XZ sono risultati compromessi da una backdoor. All'inizio ha pensato che il problema riguardasse solo il pacchetto Debian, ma successivamente si è scoperto essere un problema alla radice del repository di XZ. Nello specifico questo codice è presente nelle versioni 5.6.0 e 5.6.1 delle suddette librerie, in pratica la backdoor è attiva da febbraio 2024.

La backdoor scovata influenza le sessioni OpenSSH su Debian e distribuzioni correlate, anche se OpenSSH non si basa su lzma. OpenSSH non utilizza direttamente liblzma. Tuttavia Debian e molte altre distribuzioni patchano OpenSSH per supportare la notifica di systemd e libsystemd dipende da lzma. 

 

Come i manutentori delle principali distro stanno reagendo

Stando a quanto dichiarato da Debian al momento non risulta che sia interessata alcuna versione stabile di Debian. I pacchetti compromessi facevano parte dei repository di Debian testing, unstable e experimental, distribuzioni per le quali, a seguito della scoperta della falla di sicurezza, i manteiner hanno provveduto a ripristinare la versione esente da backdoor.

Anche Red Hat è intervenuta sull'accaduto pubblicando un avviso di sicurezza per gli utenti di Fedora Linux 40 e Fedora Rawhide. Sebbene l'aggiornamento dannoso non sia mai stato inviato ai repository stabili di Fedora Linux 40 Beta, gli utenti di Fedora Linux 40 Beta potrebbero averlo ricevuto dai repository di testing, che sono abilitati per impostazione predefinita nelle versioni pre-release per assistere con i test. La versione declassata è ora nei repository di testing di Fedora Linux 40 e a breve arriveranno le ISO aggiornate. Fedora Rawhide sarà riportato a breve a xz-5.4.x e, una volta fatto, le istanze di Fedora Rawhide potranno essere tranquillamente distribuite. 

openSUSE ha comunicato che le versioni rolling release openSUSE Tumbleweed e openSUSE MicroOS hanno incluso questa versione affetta da backdoor tra il 7 e il 28 marzo. I manutentori di openSUSE hanno effettuato il rollback della versione di xz su Tumbleweed il 28 marzo e hanno rilasciato una nuova istantanea di Tumbleweed (20240328 o successiva) costruita da un backup sicuro. Per gli utenti di openSUSE Tumbleweed in cui SSH è esposto a Internet, il team di openSUSE raccomanda di installare la nuova versione, poiché non è noto se la backdoor sia stata sfruttata. A causa della natura sofisticata della backdoor, è probabile che non sia possibile rilevare una violazione a livello di sistema. Inoltre, si raccomanda la rotazione di tutte le credenziali che potrebbero essere state prelevate dal sistema. Altrimenti, è sufficiente aggiornare a openSUSE Tumbleweed 20240328 o a una versione successiva e riavviare il sistema.

Infine il team di Arch Linux ha mandato un alert di sicurezza chiedendo ai suoi utenti di aggiornare immediatamente i propri sistemi sebbene, a detta loro, Arch non collega direttamente openssh a liblzma e quindi questo vettore di attacco non è possibile.