A Microsoft revelou uma falha de segurança significativa no XZ Utils, uma ferramenta de compactação de arquivos amplamente usada em várias distribuições Linux. A vulnerabilidade, catalogada em CVE-2024-3094, recebeu a classificação de gravidade mais alta de 10,0 pelo Sistema Comum de Pontuação de Vulnerabilidade (CVSS). Esta falha representa uma ameaça potencial para várias distribuições importantes do Linux, incluindo Fedora, Kali Linux, OpenSUSE e Alpine. A descoberta foi feita por um desenvolvedor Microsoft Linux, Andres Freund, que notou um atraso incomum nas conexões da porta SSH, levando à identificação de um malware malicioso. backdoor.
Impacto e detecção
A vulnerabilidade suscitou preocupações devido ao seu potencial impacto global, com apenas quatro dos 63 fornecedores de segurança, incluindo a Microsoft, atualmente capaz de detectar a exploração com precisão. As versões comprometidas do XZ Utils, especificamente 5.6.0 e 5.6.1, contêm o backdoor, levando a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA a aconselhar o uso de versões mais antigas e não afetadas. Empresas de pesquisa de segurança como Qualys e Binarly responderam lançando ferramentas de detecção e scanner. A Qualys atualizou seus VULNSIGS para a versão 2.6.15-6 e identificou a vulnerabilidade com o ID de detecção de vulnerabilidade Qualys “379548″. A Binarly, por outro lado, oferece um scanner gratuito que alerta os usuários sobre a presença do “implante malicioso XZ” em versões de software comprometidas.
A Red Hat mais tarde anunciou a descoberta do vulnerabilidade crítica na biblioteca de compactação de dados xz, afetando as versões 40, 41 do Fedora Linux e a distribuição de desenvolvedores do Fedora Rawhide. A investigação da Red Hat revela que o código está totalmente presente apenas no pacote de download e se torna operacional através da manipulação da macro M4 no repositório Git.
Recomendações e soluções
Para determinar se um sistema é vulnerável, os usuários são incentivados a executar um comando específico em SSH com privilégios de administrador. Esta medida proativa, juntamente com a utilização de ferramentas de verificação de terceiros, constitui a base da orientação recomendada para mitigar o risco representado por esta vulnerabilidade. Ambos Binarly e Qualys fornecem recursos valiosos em seus sites para aqueles que buscam mais detalhes técnicos ou soluções para proteger seus sistemas.
Em resposta à descoberta, a Red Hat emitiu um forte aviso a todos os usuários do Fedora Rawhide, instando-os a interromper qualquer uso da distribuição para trabalho e atividades pessoais imediatamente. Estão em andamento planos para reverter o Fedora Rawhide para uma versão segura do utilitário xz, xz-5.4.x, após o qual será seguro reimplantar instâncias do Fedora Rawhide. A Red Hat confirmou que o Red Hat Enterprise Linux (RHEL) não é afetado por esta vulnerabilidade.
A descoberta do backdoor XZ Utils ressalta a importância da vigilância e de práticas de segurança completas dentro da comunidade de código aberto. Também destaca o papel crítico que desenvolvedores individuais, como Andres Freund, desempenham na manutenção da integridade e segurança de software amplamente utilizado.
