A quanto pare gli aggressori di tipo nazionale hanno compromesso il software di compressione dati open source ampiamente utilizzato come parte di un attacco alla catena di fornitura.
Guarda anche: Quando ogni identità è a rischio, da dove cominciare?
Il codice dannoso sembra essere inserito nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti e librerie open source per il formato di compressione XZ che è stato inizialmente rilasciato come LZMA Utils nel 2009 ed è presente in quasi tutti i programmi open source. sorgente distribuzione Linux e commerciale. Da scoprire velocemente. Ciò potrebbe aver contribuito a limitare l’uso diffuso della vulnerabilità, che sembra essere progettata per facilitare l’accesso remoto e non autorizzato ai sistemi interessati.
Venerdì l’Agenzia statunitense per la sicurezza informatica e le infrastrutture Egli ha detto “Raccomanda agli sviluppatori e agli utenti di eseguire il downgrade di XZ Utils a una versione senza patch, come XZ Utils 5.4.6 Stable”, nonché di “eseguire la scansione di qualsiasi attività dannosa e segnalare eventuali risultati positivi” all'agenzia.
La vulnerabilità è stata identificata in XZ Utilis CVE-2024-3094, include Liblzma, che fa parte del pacchetto XZ. La vulnerabilità viene utilizzata per facilitare l'accesso remoto completo al sistema tramite SSHD, un processo server OpenSSH.
La vulnerabilità potrebbe “consentire a un utente malintenzionato di interrompere l'autenticazione sshd e ottenere l'accesso non autorizzato all'intero sistema da remoto”. alla cautela Red Hat, produttore di distribuzioni Linux. “Fortunatamente, xz 5.6.0 e 5.6.1 non sono ancora stati ampiamente integrati dalle distribuzioni Linux e, dove lo sono, è per lo più nelle versioni pre-release.”
GitHub ce l'ha Disabilitare il deposito Vengono utilizzati per propagare il codice backdoor.
“Attraverso una serie di complessi offuscamenti, il processo di compilazione di liblzma estrae un file oggetto precedentemente generato da un file di test mascherato contenuto nel codice sorgente, che viene quindi utilizzato per modificare funzioni specifiche nel codice liblzma”, ha affermato il National Vulnerability Database degli Stati Uniti. “Ciò si traduce in una libreria liblzma modificata che può essere utilizzata da qualsiasi programma associato a questa libreria e per intercettare e modificare l'interazione dei dati con questa libreria.”
“Il Trojan consente a qualcuno con una chiave privata di compromettere l'SSHD per eseguire comandi, tra le altre funzioni.” Egli ha detto L'esperto di sicurezza britannico Kevin Beaumont in un post sul blog. “È molto avanzato.”
Fondazione per la sicurezza open source menzionato L'attacco, almeno finora, sembra essere progettato solo per funzionare con i pacchetti Debian o RPM Package Manager. “Sebbene il motivo dietro questa backdoor rimanga sconosciuto, l'intento era quello di compromettere alcune distribuzioni, poiché le backdoor venivano applicate solo ai pacchetti DEB o RPM per l'architettura x86-64 costruita con GNU e GNU linker,” ha detto, riferendosi al gruppo di compilatori GNU nonché il linker GNU utilizzato per creare un file eseguibile o una libreria.
Avvisi software
Il merito della scoperta del codice violato va ad Andres Freund. Venerdì, uno dei principali ingegneri del software di Microsoft Pubblicare alla mailing list sulla sicurezza del software open source che dopo “aver notato alcuni strani sintomi intorno a liblzma” nelle installazioni di Debian Unstable – una versione di sviluppo in scala di Debian con nome in codice “Sid” – ha scoperto che “il repository xz upstream e i tarball xz,” – o file di archivio compressi L'utilità tar è stata “backdoor” da febbraio, dopodiché la nuova versione dell'utilità ha iniziato a farsi strada in altri programmi.
L’allarme è arrivato poco prima delle 9:00 PT di venerdì, all’inizio del lungo fine settimana di Pasqua per molte persone, anche in tutta Europa e in diversi stati e distretti scolastici degli Stati Uniti.
Da allora, numerosi sviluppatori di software hanno avvertito gli utenti che potrebbero aver ricevuto software infetto.
Red Hat ha avvertito gli utenti di “smettere immediatamente di utilizzare qualsiasi istanza di Fedora Rawhide per lavoro o attività personale”. Rawhide è una patch di sviluppo costantemente aggiornata per la distribuzione Red Hat Enterprise Linux, che funge da base per le future versioni di Linux.
Red Hat ha inoltre avvertito che alcuni utenti di Fedora Linux 40 beta potrebbero aver ricevuto versioni nascoste delle librerie XZ, “a seconda dei tempi degli aggiornamenti di sistema”, sebbene il sistema operativo “non sembri essere influenzato dall'effettivo exploit del malware”. Tuttavia, ho incoraggiato tutti gli utenti beta di Fedora 40 Linux a effettuare immediatamente il downgrade a 5.4.x.
IL Debian Il team di sviluppo ha affermato che, sebbene nessuna versione stabile del suo sistema operativo sia interessata, “il prossimo rilascio minore della 12.6 è stato ritardato mentre indaghiamo sugli impatti del CVE sull'archivio”.
Ubuntu Egli ha detto “Nessuna versione rilasciata” del suo sistema operativo è interessata.
Il team di sviluppo di Kali ha messo in guardia contro chiunque abbia aggiornato la propria installazione di Kali a partire dal 26 marzo
ArcoLinux Egli ha detto “Il codice dannoso non esiste nella versione Arch di sshd, poiché non è correlato a liblzma”, anche se si consiglia agli utenti di “evitare il codice vulnerabile sul proprio sistema perché potrebbe potenzialmente essere eseguito da altri vettori non specificati.”
La vulnerabilità può esistere anche in chiunque Utilizza l'utilità Homebrew Per installare Python v3 su macOS.
L'autore: un'operazione di intelligence
Esperto di sicurezza operativa noto come The Grugq Egli ha detto La backdoor sembra essere stata il risultato di una complessa e “paziente” operazione di intelligence durata due anni che ha preso di mira la persona che teneva l'XZ nel suo tempo libero, Lasse Collin, e “ha investito più risorse nel sabotarlo di quanto chiunque abbia investito nel suo progetto”. .”
Il Grog ha detto che Lacey era “irreprensibile in questo”. “Nessun individuo, e pochissime organizzazioni, sono in grado di individuare, per non parlare di resistere!, agli interessi diretti di un’agenzia di intelligence”. In questo caso, ha affermato che le fasi iniziali di questo tipo di operazione di “intelligence umana” sono iniziate intorno a marzo 2022, con messaggi inviati a Lasse, in particolare da un personaggio chiamato “Jigar Kumar”, che denunciava la mancanza di aggiornamenti per l’XZ. Successivamente, gli aggressori sembravano introdurre un personaggio chiamato “Jia Tan”, che si offrì magicamente di aiutare Lasse con il suo carico di lavoro e poi ingegnò socialmente Lasse per dargli il diritto di inviare direttamente gli aggiornamenti del codice.
Esperto di sicurezza informatica SwiftOnSecurity Egli ha detto Sebbene l’attacco sia interessante, i team di sicurezza di qualsiasi organizzazione non presa di mira tramite la backdoor dovrebbero continuare a concentrarsi sulle preoccupazioni di sicurezza basilari e urgenti, come l’esposizione a una violazione a causa della loro incapacità di correggere difetti noti, ad esempio nel loro software telematico. Loro – in tempo.
“Se vale la pena correre il rischio che questa sorta di backdoor globale venga bruciata perché non riescono a trovare nient'altro per colpirti con decine di miliardi di dollari e un esercito di criminali informatici, allora sei già un vincitore. Loro ho dovuto imbrogliare. Ritira il tuo premio”, ha detto SwiftOnSecurity. “Il resto di queste persone è esposto ad allegati e-mail e condensatori VPN senza patch.”
Software open source sotto accusa
Gli esperti di sicurezza avvertono da anni che molti componenti open source forniscono funzionalità importanti ma spesso non dispongono di un supporto adeguato.
Questo problema continua ad essere evidenziato, anche nel 2014 con la scoperta della vulnerabilità “Heartbleed” nella libreria crittografica OpenSSL, che ha portato a nuove iniziative per investire più denaro in progetti open source. Nel 2021, la scoperta di Log4Shell, un difetto nel software di registrazione Log4j ampiamente utilizzato dalla Apache Software Foundation, ha evidenziato i rischi della catena di approvvigionamento posti dai componenti open source, che possono essere presenti in molti tipi diversi di software, sia vecchi che nuovi, in Quando non è sempre documentato.
Aspettatevi che gli aggressori continuino a cercare di volgere questa situazione a proprio vantaggio, come evidenzia l’attacco XZ Util, Egli ha detto Dan Gilmore, un veterano editorialista di tecnologia, è professore di pratica presso la Walter Cronkite School of Journalism and Mass Communication presso l'Arizona State University.
“Sebbene sia stato scoperto prima che fosse ampiamente pubblicato, il fatto che un malato 'cattivo attore' potesse iniettare codice dannoso nei principali repository open source – una possibilità nota – è ora una realtà incombente”, ha detto Gilmore.