Red Hat alerta sobre backdoor em ferramentas XZ usadas no Linux

Empresa aconselha usuários a pararem imediatamente de usar sistemas que executam versões de desenvolvimento do Fedora devido a uma backdoor encontrada nas mais recentes ferramentas e bibliotecas de compactação de dados do XZ Utils
Da Redação
01/04/2024

A Red Hat lançou alerta para que os usuários pararem imediatamente de usar sistemas que executam versões de desenvolvimento do Fedora devido a uma backdoor encontrada nas mais recentes ferramentas e bibliotecas de compactação de dados do XZ Utils.

“Pare imediatamente o uso de qualquer instância Fedora 41 ou Fedora Rawhide para trabalho ou atividade pessoal”, diz o alerta feito na sexta-feira passada, 29. “Nenhuma versão do Red Hat Enterprise Linux (RHEL) foi afetada. Temos relatórios e evidências de injeções construídas com sucesso em versões XZ 5.6.x para Debian instável (Sid).”

Os desenvolvedores Debian também emitiram um comunicado de segurança alertando os usuários sobre o problema. A nota diz que nenhuma versão estável do Debian está usando os pacotes comprometidos e que o XZ foi revertido para o código upstream 5.4.5 em testes Debian afetados, distribuições instáveis e experimentais.

O engenheiro de software da Microsoft, Andres Freund, descobriu o problema de segurança ao analisar um problema de desempenho do Postgres em uma máquina Linux executando o Debian Sid — a versão de desenvolvimento contínua da distribuição Debi.

Ele disse não ter encontrado o propósito exato do código malicioso adicionado às versões 5.6.0 e 5.6.1 do XZ no último mês. “Ainda não analisei precisamente o que está sendo verificado no código injetado, para permitir acesso não autorizado”, disse Freund. “Como isso está sendo executado em um contexto de pré-autenticação, parece provável que permita alguma forma de acesso ou outra forma de execução remota de código.”

A Red Hat agora está rastreando a vulnerabilidade de segurança da cadeia de suprimentos como CVE-2024-3094 e lhe atribuiu de gravidade 10 no sistema de pontuação comum de vulnerabilidades (CVSS) e reverteu para versões 5.4.x do XZ no Fedora 40 beta.

Veja isso
Backdoor disfarçada de plugin permite hack a sites WordPress
EUA e Japão alertam sobre backdoor em roteadores Cisco

O código malicioso é ofuscado e só pode ser encontrado no pacote de download completo, e não na distribuição Git, que não possui a macro M4, que aciona o processo de construção da backdoor. Se a macro maliciosa estiver presente, os artefatos de segundo estágio encontrados no repositório Git serão injetados durante o tempo de construção.

“A construção maliciosa resultante interfere na autenticação no sshd via systemd. SSH é um protocolo comumente usado para conexão remota a sistemas, e sshd é o serviço que permite o acesso”, disse Red Hat. “Sob as circunstâncias certas, essa interferência poderia permitir que um agente mal-intencionado quebrasse a autenticação sshd e obtivesse acesso não autorizado a todo o sistema remotamente”.

A CISA também publicou um comunicado alertando os desenvolvedores e usuários para fazerem o downgrade para uma versão não comprometida — ou seja, 5.4.6 Stable — e procurarem qualquer atividade maliciosa ou suspeita em seus sistemas.

Compartilhar:

Últimas Notícias