A RedHat divulgou na sexta-feira um “alerta de segurança urgente” alertando que duas versões de uma in style biblioteca de compactação de dados chamada XZ Utils (anteriormente LZMA Utils) foram backdooradas com código malicioso projetado para permitir acesso remoto não autorizado.
O comprometimento da cadeia de fornecimento de software program, rastreado como CVE-2024-3094, tem pontuação CVSS de 10,0, indicando gravidade máxima. Afeta as versões 5.6.0 do XZ Utils (lançado em 24 de fevereiro) e 5.6.1 (lançado em 9 de março).
“Através de uma série de ofuscações complexas, o processo de construção da liblzma extrai um arquivo-objeto pré-construído de um arquivo de teste disfarçado existente no código-fonte, que é então usado para modificar funções específicas no código da liblzma”, disse a subsidiária da IBM em um comunicado.
“Isso resulta em uma biblioteca liblzma modificada que pode ser usada por qualquer software program vinculado a esta biblioteca, interceptando e modificando a interação de dados com esta biblioteca.”
Especificamente, o código nefasto incorporado ao código é projetado para interferir no processo daemon sshd para SSH (Safe Shell) por meio do conjunto de software program systemd e potencialmente permitir que um agente de ameaça quebre a autenticação sshd e obtenha acesso não autorizado ao sistema remotamente “sob as circunstâncias certas.”
O pesquisador de segurança da Microsoft, Andres Freund, foi creditado por descobrir e relatar o problema na sexta-feira. Diz-se que o código malicioso fortemente ofuscado foi introduzido ao longo de uma série de quatro commits no Projeto Tukaani no GitHub por um usuário chamado JiaT75.
“Dada a atividade durante várias semanas, o responsável ou está diretamente envolvido ou houve algum comprometimento bastante grave do seu sistema”, disse Freund. “Infelizmente, esta última parece ser a explicação menos provável, visto que eles comunicaram em várias listas sobre as ‘correções’”.
Desde então, o GitHub, de propriedade da Microsoft, desativou o repositório XZ Utils mantido pelo Projeto Tukaani “devido a uma violação dos termos de serviço do GitHub”. Atualmente não há relatos de exploração ativa na natureza.
As evidências mostram que os pacotes estão presentes apenas no Fedora 41 e no Fedora Rawhide e não afetam o Pink Hat Enterprise Linux (RHEL), o Debian Steady, o Amazon Linux e o SUSE Linux Enterprise e Leap.
Por precaução, os usuários do Fedora Linux 40 foram recomendados a fazer o downgrade para uma versão 5.4. Algumas das outras distribuições Linux impactadas pelo ataque à cadeia de suprimentos estão abaixo –
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a emitir um alerta próprio, instando os usuários a fazer o downgrade do XZ Utils para uma versão não comprometida (por exemplo, XZ Utils 5.4.6 Steady).
