Uma análise recente revelou que o código malicioso incorporado na biblioteca de código aberto amplamente utilizada XZ Utils (presente em várias distros Linux) pode ativar execução remota de código. O cenário de ataque é baseado na vulnerabilidade crítica CVE-2024-3094.
CVE-2024-3094
Este compromisso, identificado como CVE-2024-3094 com uma pontuação CVSS de 10.0, foi trazido à luz pelo engenheiro da Microsoft e desenvolvedor do PostgreSQL Andres Freund. Freund notou um uso incomumente alto de CPU por processos sshd durante o benchmarking do sistema, o que levou à descoberta de um backdoor no utilitário de compactação de dados XZ Utils. Esse backdoor possibilita que invasores remotos contornem a autenticação segura do shell e obtenham acesso completo aos sistemas afetados.
O código backdoor malicioso foi introduzido intencionalmente por um dos mantenedores do projeto, Jia Tan (também conhecido como Jia Cheong Tan ou JiaT75), em um ataque planejado que durou vários anos. o GitHub conta associada a esta atividade foi criada em 2021, mas a identidade do ator(s) permanece desconhecido. De acordo com relatórios, o ator da ameaça ganhou credibilidade dentro do projeto XZ durante quase dois anos antes de receber responsabilidades de mantenedor.
O invasor usou contas sockpuppet, como Jigar Kumar e Dennis Ens, para enviar solicitações de recursos e relatar problemas, pressionando o mantenedor original, Lasse Collin do Projeto Tukaani, para adicionar um novo co-mantenedor ao repositório. Jia Tan introduziu alterações no XZ Utils em 2023, levando ao lançamento da versão 5.6.0 em fevereiro 2024, que incluía um backdoor sofisticado.
Collin reconheceu a violação e confirmou que os tarballs de lançamento comprometidos foram criados e assinados por Jia Tan, que teve acesso ao repositório GitHub agora desativado. Este ataque à cadeia de abastecimento demonstra considerável sofisticação e planeamento plurianual, provavelmente indicativo de atividade patrocinada pelo estado.
Uma análise mais profunda do backdoor revelou que invasores remotos específicos podem enviar cargas arbitrárias por meio de um certificado SSH, permitindo-lhes executar comandos e obter controle sobre a máquina vítima. Este backdoor representa um risco significativo para máquinas com pacotes XZ Utils vulneráveis expostos à Internet.
A descoberta acidental do backdoor por Freund destaca a gravidade deste ataque à cadeia de abastecimento, o que poderia ter levado a um grande incidente de segurança se integrado em versões estáveis de distribuições Linux. Este incidente ressalta a importância da adoção de ferramentas e processos para identificar adulterações e recursos maliciosos em software de código aberto e comercial.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: