Una recente analisi ha rivelato che il codice dannoso è incorporato nella libreria open source ampiamente utilizzata XZ Utils (presente in più distribuzioni Linux) può abilitare esecuzione di codice remoto. Lo scenario di attacco si basa sulla vulnerabilità critica CVE-2024-3094.
CVE-2024-3094 Spiegato
Questo compromesso, identificato come CVE-2024-3094 con un punteggio CVSS pari a 10.0, è stato portato alla luce dall'ingegnere Microsoft e sviluppatore PostgreSQL Andres Freund. Freund ha notato un utilizzo insolitamente elevato della CPU da parte dei processi sshd durante il benchmarking del sistema, che ha portato alla scoperta di una backdoor nell'utilità di compressione dati XZ Utils. Questa backdoor consente agli aggressori remoti di aggirare l'autenticazione della shell sicura e ottenere l'accesso completo ai sistemi interessati.
Il codice backdoor dannoso è stato introdotto intenzionalmente da uno dei manutentori del progetto, Jia Tan (noto anche come Jia Cheong Tan o JiaT75), in un attacco pianificato che durerà diversi anni. Il GitHub l'account associato a questa attività è stato creato in 2021, ma l'identità dell'attore(s) rimane sconosciuto. Secondo i rapporti, l'autore della minaccia ha guadagnato credibilità all'interno del progetto XZ per quasi due anni prima che gli venissero assegnate le responsabilità di manutentore.
L'aggressore ha utilizzato account sockpuppet come Jigar Kumar e Dennis Ens per inviare richieste di funzionalità e segnalare problemi, fare pressione sul manutentore originale, Lasse Collin del Progetto Tukaani, per aggiungere un nuovo co-manutentore al repository. Jia Tan ha introdotto modifiche a XZ Utils nel 2023, portando al rilascio della versione 5.6.0 a febbraio 2024, che includeva una sofisticata backdoor.
Collin ha riconosciuto la violazione e ha confermato che i tarball della versione compromessa sono stati creati e firmati da Jia Tan, che avevano accesso al repository GitHub ora disabilitato. Questo attacco alla catena di fornitura dimostra una notevole sofisticazione e una pianificazione pluriennale, probabilmente indicativo di un’attività sponsorizzata dallo Stato.
Un’analisi più approfondita della backdoor ha rivelato che specifici aggressori remoti possono inviare payload arbitrari tramite un certificato SSH, consentendo loro di eseguire comandi e ottenere il controllo sulla macchina vittima. Questa backdoor rappresenta un rischio significativo per le macchine con pacchetti XZ Utils vulnerabili esposti su Internet.
La scoperta accidentale della backdoor da parte di Freund evidenzia la gravità di questo attacco alla catena di approvvigionamento, che avrebbe potuto portare a un grave incidente di sicurezza se integrato nelle versioni stabili delle distribuzioni Linux. Questo incidente sottolinea l'importanza di adottare strumenti e processi per identificare manomissioni e funzionalità dannose sia nel software open source che in quello commerciale.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: