Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevata backdoor in XZ Utils (AL01/240330/CSIRT-ITA) – Aggiornamento

Data:
3 Aprile 2024 09:38

Data di creazione: 30/03/2024 09:44

Sintesi

Ricercatori di sicurezza hanno rilevato la presenza di una backdoor nei tool di compressione dati XZ Utils utilizzati in diverse distribuzioni Linux.

Note (aggiornamento del 03/04/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-3094 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,48/100)1.

Descrizione

È stata rilevata la presenza di una backdoor nei tool di compressione dati XZ Utils utilizzati in diverse distribuzioni Linux.

XZ Utils è un insieme di tool progettati per la compressione e la decompressione dei file utilizzando l’algoritmo LZMA/LZMA2. Tali strumenti, tra cui il programma principale xz, sono spesso utilizzati per comprimere file di grandi dimensioni, come distribuzioni di sistemi operativi e archivi di dati. Tuttavia è stata rilevata una backdoor nelle versioni 5.6.0 e 5.6.1 di XZ Utils.

Le versioni malevole di XZ Utils contengono una backdoor che può essere attivata per accedere senza autorizzazione ai sistemi infetti. In particolare tale backdoor sembrerebbe alterare le funzionalità del daemon sshd, il file binario che gestisce il funzionamento di SSH.

Azioni di mitigazione

Si raccomanda agli sviluppatori e agli utenti di effettuare il downgrade del pacchetto XZ Utils a una versione non compromessa precedente alla 5.6.0 e l’applicazione delle mitigazioni dei maintainers di ciascuna distribuzione impattata presenti nella sezione Riferimenti.

Riferimenti

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://access.redhat.com/security/cve/CVE-2024-3094?extIdCarryOver=true&sc_cid=701f2000001OH7EAAW

https://lists.debian.org/debian-security-announce/2024/msg00057.html

https://www.kali.org/blog/about-the-xz-backdoor/

https://news.opensuse.org/2024/03/29/xz-backdoor/

https://archlinux.org/news/the-xz-package-has-been-backdoored/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.