Una scoperta fortuita scongiura una grave minaccia per Linux

Getting your Trinity Audio player ready...

Per puro caso, il ricercatore Microsoft Andres Freund ha scoperto del codice maligno in grado di bypassare l’autenticazione sshd. Se non fosse stato scoperto, avrebbe potuto rappresentare una grave minaccia per Linux. La comunità open source ha reagito prontamente all’incidente, riconoscendo la fortuita natura della scoperta e la sua tempestività che ha permesso di evitare un rischio significativo per la comunità Linux in generale.

La scoperta del codice maligno

Andres Freund, sviluppatore PostgreSQL in Microsoft, stava eseguendo dei micro-benchmark di routine quando ha notato un piccolo ritardo di 600 ms nei processi ssh, osservando che questi stavano usando una quantità sorprendente di CPU nonostante avrebbero dovuto fallire immediatamente, come riportato dal suo post su Mastodon.

Questo ha portato Freund a scoprire un attacco alla supply chain che coinvolgeva del codice maligno nascosto nel pacchetto XZ. Ha pubblicato la sua scoperta sulla mailing list per la sicurezza open source e la comunità open source ha preso subito in mano la situazione.

i tried explaining my nontech friends today that an engineer debugging a 500ms delay has saved the entire web, potentially the entire civilisation

— Peer Richelsen — oss/acc (@peer_rich) March 30, 2024

Leggi anche:

• Allarme Linux: i temi globali KDE possono cancellare tutto!

La comunità di sviluppatori ha rapidamente scoperto come questo attacco sia stato abilmente iniettato in XZ utils, un piccolo progetto open source gestito da un singolo sviluppatore non retribuito almeno dal 2009. L’account associato ai commit incriminati sembra aver agito in modo ingannevole, guadagnando lentamente la fiducia dello sviluppatore di XZ, il che ha portato a ipotizzare che l’autore del codice maligno sia un aggressore sofisticato, possibilmente affiliato a un’agenzia statale.

Ufficialmente chiamata CVE-2024-3094, questa vulnerabilità ha il punteggio CVSS più alto possibile, ovvero 10. Red Hat ha riportato che il codice maligno modifica funzioni all’interno di liblzma, una libreria di compressione dati che fa parte del pacchetto XZ utils ed è un elemento fondamentale di diverse distribuzioni Linux importanti.

There was some serious time and dedication put into this attack, honestly. Talk about playing the long game https://t.co/0IZFrDAbbQ

— Ian Coldwater 📦💥 (@IanColdwater) March 29, 2024

Impatto della vulnerabilità

Questo codice modificato può essere utilizzato da qualsiasi software collegato alla libreria XZ e consentire l’intercettazione e la modifica dei dati utilizzati con la libreria. In determinate condizioni, secondo Freund, questa backdoor potrebbe consentire a un malintenzionato di interrompere l’autenticazione sshd, permettendogli di accedere a un sistema colpito. Freund ha inoltre segnalato che le versioni 5.6.0 e 5.6.1 di XZ utils sono interessate.

The xz backdoor is, well, setting a fire under the entire Linux ecosystem… but I'm also so impressed with how it was set up: 2-yr maintainership, oss-fuzz, etc.

…and who knows how long it would've stayed undetected if the injected sshd code ran faster (<600ms)

Highlights:

— Danny Lin (@kdrag0n) March 30, 2024

Leggi anche:

• Malware indisturbato per due anni: rubati i dati di migliaia di utenti

Red Hat ha identificato pacchetti vulnerabili in Fedora 41 e Fedora Rawhide, consigliando agli utenti di interromperne l’utilizzo fino a quando non sarà disponibile un aggiornamento, sebbene Red Hat Enterprise Linux (RHEL) rimanga non interessata. SUSE ha rilasciato aggiornamenti per openSUSE (Tumbleweed o MicroOS). Le versioni stabili di Debian Linux sono sicure, ma le versioni di test, instabili e sperimentali richiedono aggiornamenti di xz-utils a causa di pacchetti compromessi. Gli utenti di Kali Linux che hanno aggiornato tra il 26 e il 29 marzo devono aggiornare nuovamente per una correzione, mentre quelli che hanno aggiornato prima del 26 marzo non sono interessati da questa vulnerabilità.

Tuttavia, come hanno notato molti ricercatori di sicurezza, la situazione è ancora in evoluzione e potrebbero essere scoperte ulteriori vulnerabilità. Non è chiaro nemmeno quale sarebbe stato il payload dell’attacco. La Cybersecurity and Infrastructure Security Agency statunitense ha consigliato di effettuare un downgrade a una versione non compromessa di XZ utils, precedente alla 5.6.0. Le società di sicurezza consigliano inoltre a sviluppatori e utenti di condurre test di risposta agli incidenti per verificare se sono stati colpiti e, in tal caso, di segnalarlo alla CISA.

This is explains how the xz backdoor was found pic.twitter.com/n9rNjvawHU

— myq (@mippl3) March 30, 2024

Raccomandazioni

Fortunatamente, non sembra che le versioni interessate siano state incorporate in alcuna release di produzione per le principali distribuzioni Linux. Tuttavia, Will DormUn caso fortuito ha portato il ricercatore Microsoft Andres Freund a scoprire del codice maligno in grado di bypassare l’autenticazione sshd, rappresentando una grave minaccia per Linux se non fosse stato scoperto. Freund stava eseguendo dei micro-benchmark di routine quando ha notato un ritardo nei processi ssh e ha scoperto un attacco alla supply chain nel pacchetto XZ. Ha pubblicato la scoperta sulla mailing list per la sicurezza open source e la comunità ha prontamente reagito. Il codice maligno è stato iniettato abilmente in XZ utils, un progetto open source gestito da un singolo sviluppatore non retribuito. L’autore del codice maligno sembra essere un aggressore sofisticato, forse affiliato a un’agenzia statale.

Leggi anche:

• Scoperta una falla nel Wi-Fi per rubare dati da dispositivi Android e Linux

La vulnerabilità, chiamata CVE-2024-3094, ha il punteggio CVSS più alto e coinvolge la modifica delle funzioni in liblzma, una libreria di compressione dati fondamentale per diverse distribuzioni Linux. Red Hat ha identificato pacchetti vulnerabili e ha consigliato agli utenti di sospendere l’utilizzo fino a quando non sarà disponibile un aggiornamento. Altre distribuzioni Linux stanno rilasciando aggiornamenti per risolvere la vulnerabilità. La situazione è in evoluzione e potrebbero essere scoperte ulteriori vulnerabilità. La Cybersecurity and Infrastructure Security Agency statunitense ha consigliato agli utenti di effettuare un downgrade a una versione non compromessa di XZ utils. È importante condurre test di risposta agli incidenti per verificare se si è stati colpiti e segnalarlo alle autorità competenti. Fortunatamente, non sembra che le versioni interessate siano state incorporate in release di produzione per le principali distribuzioni Linux.

Riassumendo (per i meno esperti di informatica)

Un ricercatore Microsoft, Andres Freund, ha scoperto e sventato un piano ingegnoso che avrebbe potuto compromettere innumerevoli server in tutto il mondo. Freund stava ottimizzando il suo computer quando ha notato un’anomalia nell’utilizzo della CPU da parte di SSHD, un componente che consente l’accesso remoto sicuro.

Dopo un’analisi approfondita, ha scoperto una backdoor nascosta in SSHD. Questa backdoor avrebbe consentito a un aggressore sconosciuto di accedere a un numero incalcolabile di server e sistemi. Freund ha tracciato la backdoor fino a una libreria open source chiamata XZ Utils, utilizzata per la compressione dei dati sui server. Nel 2020, un utente GitHub sospetto, Jia Tan, si era unito al progetto XZ Utils come collaboratore.

Tan ha gradualmente guadagnato importanza nel progetto, apportando miglioramenti e correggendo bug. Tuttavia, ha nascosto il malware nelle “tarball” della libreria, che vengono utilizzate per distribuire il codice sorgente. Tan ha creato account falsi su GitHub e ha spinto i gestori delle distribuzioni Linux a includere la versione compromessa di XZ Utils nei loro sistemi operativi.

Questo avrebbe diffuso la backdoor su larga scala. Se Freund non fosse intervenuto, la backdoor sarebbe stata distribuita nella maggior parte dei sistemi operativi, con conseguenze potenzialmente catastrofiche. Grazie alla sua scoperta, Freund ha impedito uno dei più grandi cyberattacchi della storia.

Fonte

Ti potrebbe interessare:

• Rivoluzione Linux: sempre più utenti scelgono l’alternativa open source

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Instagram: instagram.com/guru_hi_tech/
• Threads: threads.net/@guru_hi_tech
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.e496a29c3d8dfd2
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@yahoo.com.