Una backdoor recentemente scoperta in XZ Utils, un’utilità di compressione dati presente in quasi tutte le distribuzioni Linux, ha fatto rivivere i fantasmi di precedenti importanti allarmi per la sicurezza della catena di fornitura software come la vulnerabilità Log4Shell e l’attacco a SolarWinds. La backdoor è incorporata in una libreria XZ chiamata liblzma e offre agli aggressori remoti un modo per aggirare l’autenticazione Secure Shell (sshd) e quindi ottenere l’accesso completo a un sistema interessato. Sembra che un individuo con accesso al codice a livello di manutentore abbia deliberatamente introdotto la backdoor in un attacco pluriennale eseguito scrupolosamente. La backdoor interessa XZ Utils 5.6.0 e 5.6.1, che sono versioni dell’utilità attualmente utilizzate solo nelle versioni unstable e beta di Fedora, Debian, Kali, open SUSE e Arch Linux. Di conseguenza, la potenziale minaccia con questa backdoor per ora è notevolmente più limitata che se il malware fosse riuscito a penetrare in una distribuzione Linux stabile. Anche così, il fatto che qualcuno sia riuscito a infilare una backdoor quasi impercettibile in un componente open source affidabile e ampiamente utilizzato – e il potenziale caos che avrebbe potuto causare – è arrivato come un doloroso campanello d’allarme su quanto le organizzazioni siano vulnerabili agli attacchi tramite la supply chain. catena. “Questo attacco alla catena di approvvigionamento è stato uno shock per la comunità OSS, poiché XZ Utils era considerato un progetto affidabile e attentamente esaminato”, hanno affermato i ricercatori di JFrog in un post sul blog . “L’aggressore si è costruito una reputazione credibile come sviluppatore OSS nell’arco di diversi anni e ha utilizzato codice altamente offuscato per eludere il rilevamento da parte delle revisioni del codice.” XZ Util è un’utilità da riga di comando per comprimere e decomprimere dati in Linux e altri sistemi operativi simili a Unix. Lo sviluppatore Microsoft Andres Freund ha scoperto la backdoor nel software mentre indagava su comportamenti strani nelle ultime settimane riguardo a liblzma su alcune installazioni Debian. Dopo aver inizialmente pensato che la backdoor fosse puramente un problema Debian, Freund ha scoperto che il problema in realtà aveva un impatto sul repository XZ upstream e sui tarball o file di archivio associati. Ha rivelato pubblicamente la minaccia il 29 marzo. Durante il fine settimana, i team di sicurezza associati a Fedora , Debian , openSUSE , Kali e Arch hanno emesso avvisi urgenti avvisando le organizzazioni che utilizzano le versioni Linux interessate di tornare immediatamente alle versioni precedenti e più stabili del loro software per mitigare il potenziale rischio di esecuzione di codice remoto.
VULNERABILITA’ DI GRAVITA MASSIMA
Red Hat, lo sponsor principale e collaboratore di Fedora, ha assegnato alla backdoor un identificatore di vulnerabilità ( CVE-2024-3094 ) e lo ha valutato come un rischio di gravità massima (punteggio CVSS di 10) per attirare l’attenzione sulla minaccia. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti si è unita al coro di voci che sollecitano le organizzazioni che utilizzano le distribuzioni Linux interessate a eseguire il downgrade delle loro XZ Utils a una versione precedente e a cercare qualsiasi potenziale attività correlata alla backdoor e a segnalare eventuali risultati all’agenzia. Tutti gli avvisi offrivano suggerimenti agli utenti su come verificare rapidamente la presenza delle versioni XZ backdoor nel loro codice. Red Hat ha rilasciato un aggiornamento che ripristina XZ alle versioni precedenti, che l’azienda renderà disponibile tramite il normale processo di aggiornamento. Ma gli utenti preoccupati per potenziali attacchi possono forzare l’aggiornamento se non vogliono aspettare che diventi disponibile tramite il normale processo, ha affermato la società. Oggi Binarly ha rilasciato uno strumento gratuito che le organizzazioni possono utilizzare anche per cercare XZ backdoor. “Se questo codice dannoso fosse stato introdotto nelle versioni stabili del sistema operativo in più distribuzioni Linux, avremmo potuto vedere uno sfruttamento in massa”, afferma Scott Caveza, ingegnere di ricerca presso Tenable. “Più a lungo questo passa inosservato, maggiore è il potenziale per l’arrivo di altro codice dannoso da chiunque possa essere questo attore dannoso.”
In una FAQ, Tenable ha descritto la backdoor come una modifica delle funzioni all’interno di liblzma in modo tale da consentire agli aggressori di intercettare e modificare i dati all’interno della libreria. “Nell’esempio osservato da Freund, in determinate condizioni, questa backdoor potrebbe consentire a un utente malintenzionato di” interrompere l’autenticazione sshd “, consentendo all’aggressore di accedere a un sistema interessato”, hanno osservato i ricercatori.
XZ Utils “Manutentore” dietro la backdoor
Ciò che rende la backdoor particolarmente problematica è il fatto che qualcuno che utilizza un account appartenente a un manutentore di XZ Util ha incorporato il malware nel pacchetto in quella che sembra essere stata un’operazione pluriennale attentamente pianificata. In un post sul blog ampiamente citato, il ricercatore di sicurezza Evan Boehs ha fatto risalire l’attività dannosa al 2021, quando un individuo che utilizzava il nome Jia Tan creò un account GitHub e quasi immediatamente iniziò ad apportare modifiche sospette ad alcuni progetti open source. Il post sul blog fornisce una cronologia dettagliata dei passaggi che Jia Tan e un paio di altre persone hanno intrapreso per creare gradualmente abbastanza fiducia all’interno della comunità XZ per apportare modifiche al software ed eventualmente introdurre la backdoor. “Tutte le prove indicano che la manipolazione sociale viene utilizzata da una persona con l’unico obiettivo finale di inserire una backdoor”, dice Boehs a Dark Reading. “Fondamentalmente, non c’è mai stato uno sforzo genuino per mantenere il progetto, ma solo per guadagnare abbastanza fiducia per inserire [la backdoor] in silenzio.”
In genere, per ottenere l’accesso al repository è necessario che un individuo stabilisca un senso di affidabilità. Spesso, i progetti danno accesso a nuovi impegni ai singoli individui solo quando ce n’è bisogno e dopo una valutazione dei rischi, afferma Boehs. “In questo caso, Jia ha creato un bisogno [apparentemente] legittimo di più manutentori… e poi ha iniziato a costruire la fiducia. La nostra società è costruita sulla fiducia, e occasionalmente alcune persone astute la sfruttano”, osserva. “Ottenere l’autorizzazione richiede fiducia. La fiducia richiede tempo per essere stabilita. Jia era presente per un lungo periodo.” Boehs dice che non è chiaro quando esattamente Jia Tan sia diventata un membro fidato del deposito. Ma subito dopo il suo primo impegno nel 2022, Jia Tan è diventato un collaboratore regolare ed è attualmente il secondo più attivo nel progetto. Da allora GitHub ha sospeso l’account di Jia Tan. Saumitra Das, vicepresidente del settore ingegneria di Qualys, afferma che ciò che è accaduto con XZ Util può accadere altrove. “Molte biblioteche critiche in open source vengono gestite da volontari nella comunità che non vengono pagati per questo e possono essere sotto pressione a causa dei loro problemi personali”, afferma Das. I manutentori che sono sotto pressione spesso accolgono contributori disposti a dedicare anche un po’ di tempo ai loro progetti. “Con il passare del tempo, queste persone possono acquisire un maggiore controllo sul codice”, come nel caso di XZ Utils, afferma.
