A backdoor XZ-Utils, descoberta pela primeira vez em março de 2024, ainda está presente em pelo menos 35 imagens Linux no Docker Hub, colocando em risco usuários, organizações e seus dados.
O Docker Hub é o registro público oficial de imagens de contêiner operado pelo Docker, permitindo que desenvolvedores e organizações façam upload ou download de imagens pré-construídas e as compartilhem com a comunidade.
Muitas pipelines de CI/CD, desenvolvedores e sistemas em produção puxam imagens diretamente do Docker Hub como camadas base para seus próprios contêineres, e se essas imagens estiverem comprometidas, a nova build herda a falha ou o código malicioso.
Pesquisadores da Binarly descobriram várias imagens Docker ainda impactadas pela backdoor XZ-Utils.
"À primeira vista, isso pode não parecer alarmante: se os pacotes de distribuição foram comprometidos, então quaisquer imagens Docker baseadas neles também estariam infectadas", relata a Binarly.
"No entanto, o que descobrimos é que algumas dessas imagens comprometidas ainda estão disponíveis publicamente no Docker Hub.
E ainda mais preocupante, outras imagens foram construídas em cima dessas imagens base infectadas, tornando-as transitivamente infectadas."
A Binarly reportou as imagens para o Debian, um dos mantenedores que ainda oferecia imagens com backdoor, que decidiu não retirá-las do ar, citando baixo risco e a importância da continuidade do arquivamento.
A backdoor XZ-Utils, rastreada sob o
CVE-2024-3094
, era um código malicioso escondido na biblioteca liblzma.so da ferramenta de compressão xz-utils, versões 5.6.0 e 5.6.1.
Ela se conectava à função RSA_public_decrypt no OpenSSH via mecanismo IFUNC do glibc, então, se um atacante com uma chave privada especial se conectasse via SSH a um sistema afetado, poderia contornar a autenticação e executar comandos remotamente como root.
A backdoor foi injetada sorrateiramente por um colaborador de longa data do projeto chamado "Jia Tan" e distribuída nos pacotes oficiais de distros Linux como Debian, Fedora, OpenSUSE e Red Hat, tornando-a um dos comprometimentos mais severos da cadeia de suprimentos de software do último ano.
A backdoor foi descoberta cedo, dando aos atacantes muito pouca oportunidade de aproveitá-la, e scanners foram lançados pela Binarly e Kaspersky, entre outros, para ajudar a detectá-la em softwares open-source dependentes.
Para surpresa dos pesquisadores, o Debian não se preocupou em retirar as imagens de 64 bits que usam a versão comprometida da biblioteca do Docker Hub, encontrando pelo menos 35 delas que ainda estão disponíveis para download.
A Binarly comenta que esse número é apenas um reflexo parcial da verdadeira escala do problema, pois eles não realizaram uma varredura em toda a plataforma para a backdoor XZ-Utils.
"Identificamos mais de 35 imagens que vêm com a backdoor", explica a Binarly em seu relatório.
"Embora isso possa parecer um número pequeno, nós apenas escaneamos uma pequena parte das imagens publicadas no DockerHub, parando nas imagens de segunda ordem."
O Debian diz que optou intencionalmente por não remover essas imagens do Docker Hub e deixá-las como artefatos históricos, avisando os usuários para usar apenas imagens atualizadas e não as antigas.
Os mantenedores tomaram essa decisão pois acreditam que os requisitos para exploração são improváveis, como a necessidade de o sshd estar instalado e em execução no contêiner, o atacante ter acesso à rede ao serviço SSH desse contêiner e usar uma chave privada que corresponda à lógica de gatilho da backdoor.
A Binarly expressa discordância com essa abordagem, sublinhando que simplesmente tornar essas imagens acessíveis ao público representa um risco significativo de puxadas acidentais ou uso em builds automáticas.
O mesmo se aplica a todas as imagens que podem conter uma versão comprometida da backdoor XZ-Utils, então os usuários devem verificar manualmente e garantir que a biblioteca esteja na versão 5.6.2 ou posterior (a última estável é 5.8.1).
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...