Na última sexta-feira, a RedHat divulgou um "alerta de segurança urgente" alertando que duas versões de uma popular biblioteca de compressão de dados chamada XZ Utils (anteriormente LZMA Utils) foram adulteradas com código malicioso projetado para permitir acesso remoto não autorizado.
O comprometimento da cadeia de suprimentos de software, rastreado como
CVE-2024-3094
, recebeu uma pontuação CVSS de 10.0, indicando severidade máxima.
Ele afeta as versões 5.6.0 do XZ Utils (lançada em 24 de fevereiro) e 5.6.1 (lançada em 9 de março).
"Através de uma série de ofuscações complexas, o processo de construção do liblzma extrai um arquivo de objeto pré-construído de um arquivo de teste disfarçado existente no código-fonte, que é então utilizado para modificar funções específicas no código do liblzma", disse a subsidiária da IBM em um comunicado.
"Isso resulta em uma biblioteca liblzma modificada que pode ser usada por qualquer software vinculado a esta biblioteca, interceptando e modificando a interação de dados com esta biblioteca."
Especificamente, o código malicioso incorporado é projetado para interferir no processo do daemon sshd para SSH (Secure Shell) por meio do conjunto de softwares systemd, e potencialmente permitir que um ator de ameaças viole a autenticação sshd e obtenha acesso remoto não autorizado ao sistema "nas circunstâncias certas".
O pesquisador de segurança da Microsoft, Andres Freund, foi creditado pela descoberta e relato do problema na sexta-feira.
O código malicioso fortemente ofuscado teria sido introduzido por meio de uma série de quatro commits no Projeto Tukaani no GitHub por um usuário chamado JiaT75.
"Dada a atividade ao longo de várias semanas, o realizador do commit está diretamente envolvido ou houve um comprometimento bastante severo do sistema deles", disse Freund.
"Infelizmente, a última hipótese parece menos provável, dado que eles se comunicaram em várias listas sobre as 'correções'."
O GitHub, de propriedade da Microsoft, desde então desativou o repositório XZ Utils mantido pelo Projeto Tukaani "devido a uma violação dos termos de serviço do GitHub".
Atualmente, não há relatos de exploração ativa no ambiente.
As evidências mostram que os pacotes estão presentes apenas no Fedora 41 e no Fedora Rawhide, e não afetam o Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux e SUSE Linux Enterprise e Leap.
Por uma questão de precaução, recomendou-se que os usuários do Fedora Linux 40 rebaixassem para uma compilação 5.4.
Algumas das outras distribuições Linux impactadas pelo ataque à cadeia de suprimentos incluem -
Kali Linux (entre 26 e 29 de março)
openSUSE Tumbleweed e openSUSE MicroOS (entre 7 e 28 de março)
Debian testing, unstable e experimental versions (de 5.5.1alpha-0.1 até 5.6.1-1)
O desenvolvimento levou a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) a emitir seu próprio alerta, instando os usuários a reverterem o XZ Utils para uma versão não comprometida (por exemplo, XZ Utils 5.4.6 Estável).
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...