Red Hat ha emesso un “avviso di sicurezza urgente” per segnalare un attacco rilevato in due versioni della popolare libreria di compressione dati XZ Utils (precedentemente nota come LZMA Utils). 

Dettagli dell’attacco CVE-2024-3094

Questo attacco, identificato come CVE-2024-3094, è stato classificato con il punteggio CVSS più alto possibile di 10.0, che indica una minaccia di massima gravità. Il Common Vulnerability Scoring System (CVSS) viene utilizzato per valutare la gravità e il rischio per la sicurezza del sistema, utilizzando una scala da 0 a 10. Le versioni interessate sono la 5.6.0 (rilasciata il 24 febbraio) e la 5.6.1 (rilasciata il 9 marzo) di XZ Utils.

Impatto e azione raccomandata

Secondo le dichiarazioni della filiale IBM. Il processo di compilazione di liblzma estrae un file di oggetti precompilati da un file di test camuffato nel codice sorgente, consentendo così la modifica di funzioni specifiche nel codice di liblzma. Il risultato è una libreria modificata che può essere utilizzata da qualsiasi software collegato, rendendo facile intercettare e modificare l’interazione dei dati con tale libreria.

In particolare, il codice maligno cerca di interferire con il processo del demone sshd per SSH (Secure Shell) attraverso la suite software systemd. Consentendo potenzialmente a un aggressore di violare l’autenticazione sshd e di ottenere un accesso non autorizzato al sistema da remoto.

Origine e risposta

Andres Freund, ricercatore di sicurezza di Microsoft, è stato accreditato per aver scoperto e segnalato il problema. Il codice dannoso è stato introdotto da un utente di nome Jia Tan (JiaT75) in una serie di commit del progetto Tukaani su GitHub. In risposta, GitHub ha disabilitato il repository XZ Utils del progetto Tukaani a causa di una violazione dei termini di servizio.

Sebbene non vi siano segnalazioni di sfruttamento attivo in natura, si consiglia agli utenti di Fedora Linux 40 di aggiornare alla versione 5.4 di XZ Utils. Altre distribuzioni interessate sono Arch Linux, Kali Linux, openSUSE Tumbleweed e MicroOS, e le versioni di prova, instabili e sperimentali di Debian.

Per precauzione, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha emesso un avviso. Invitando gli utenti a declassare XZ Utils a una versione non compromessa (ad esempio XZ Utils 5.4.6 Stable).

Questo incidente evidenzia l’importanza della sicurezza nella catena di fornitura del software e sottolinea la necessità di una continua vigilanza da parte della comunità della sicurezza informatica.

Leggi anche: Come cambierà la sicurezza informatica