Backdoor Descoberto em Biblioteca de Compactação Afeta Distribuições Linux

Uma séria vulnerabilidade de segurança foi recentemente descoberta nas versões mais recentes da ferramenta de compactação XZ e nas bibliotecas liblzma, presentes em praticamente todas as distribuições Linux atuais. O problema, atribuído ao CVE-2024-3094, aparentemente é fruto da inserção proposital de código malicioso nos repositórios de upstream do XZ por parte de um ator mal intencionado.

As versões do XZ afetadas são a 5.6.0 e a 5.6.1 e as bibliotecas de compactação liblzma, às quais o XZ faz uso. Estas versões contém código malicioso ofuscado nos source releases, em formato “tarball”, que não estão presentes nos repositórios públicos.

O backdoor em questão foi projetado para interferir no sistema de autenticação do OpenSSH (sshd) em sistemas Linux, quando construídos com as bibliotecas XZ comprometidas.

Como funciona o Backdoor

Este backdoor utiliza técnicas sofisticadas para evitar a detecção e só é acionado em condições bastante específicas. Alguns aspectos chaves:

  • Os pacotes oficiais de lançamento do x-utils contém código malicioso ofuscado e não presente nos repositórios públicos.
  • Arquivos de teste criados nos repositórios atuam como payload, instalados pelo script malicioso.
  • O backdoor sequestra o mecanismo IFUNC da glibc para executar rotinas de autenticação, como a descriptografia da chave RSA do OpenSSH.
  • O backdoor é ativado seletivamente , com base nas ferramentas de build, distribuição usada e até mesmo a partir do nome do processo em execução (/usr/bin/sshd)

Quando acionado com sucesso, em um sistema Linux vulnerável baseado em glibc, o backdoor é capaz de ignorar os fluxos de autenticação e potencialmente habilitar recursos completos de execução remota de código.

Impactos e Fatores de Risco

Embora ainda seja uma situação emergente, com muitos detalhes desconhecidos, alguns dos principais fatores de risco identificados até agora incluem:

  • Sistemas executando distribuições de lançamento contínuo (rolling release), como Arch Linux ou Debian Sid, que são atualizadas automaticamente para a versões comprometidas (5.6.x) da XZ.
  • Instalações com OpenSSH corrigidas, mas com o systemd vinculado a biblioteca liblzma.
  • Servidores sshd publicamente acessíveis e expostos, onde o bypass está habilitado.
  • Outros vetores de ataque e payloads podem ainda não ter sido mapeados, por conta da vulnerabilidade ser extremamente recente.

A combinação da ativação furtiva direcionada e da ampla base instalada dos utilitários XZ cria um alto risco de que esse ataque à cadeia de suprimentos seja ainda mais explorado nos próximos dias.

Resposta e Mitigação

Tanto a CISA quanto os principais fornecedores de distribuição Linux emitiram alertas críticos, instruindo os usuários a realizar um downgrade imediato para versões anteriores ao lançamento do backdoor, como a versão 5.4.x.

A correção de alta prioridade é recomendada para estes cenários:

  • Servidores sshd expostos – Atualizar XZ Imediatamente
  • Distribuições baseadas em glibc com versões do XZ iguais a 5.6.0/5.6.1 – Atualize o mais rápido possível
  • Distribuições de lançamento contínuo (Rolling Release) – Priorize a atualização para branches de distribuições dev/unstable.

Até o momento, o status das principais distros Linux em atividade são:

Fedora Linux 40 [Não Afetada]
Fedora Rawhide (branch dev) – [Afetada]
Debian unstable (Sid) [ Afetada ]
Kali Linux [ Afetada ]
Amazon Linux (AWS) [ Não afetada ]
OpenSUSE [ Não afetada ]
Arch Linux –  [Afetada]
Projetos Apache [ Não afetados ]

O Fedora publicou atualizações de emergência, revertendo a versão da XZ para a versão segura (5.4.x). A Red Hat também alertou os usuários, em caráter de urgência, para pararem de usar qualquer instância do Fedora Rawhide imediatamente, até que uma correção seja disponibilizada. Lembrando que o Rawhide é a base para o lançamento do Fedora 41.

Embora nenhuma versão do Red Hat Enterprise Linux pareça afetada atualmente, o backdoor também pode existir em outras distribuições Linux que empacotam as versões xz 5.6.0/5.6.1 comprometidas. É recomendado aos usuários que consultem seus fornecedores de sistema operacional para obter atualizações e orientações imediatamente.

Ainda, até o momento, acredita-se que a versão 5.4.6 do XX não é vulnerável a esta exploração. Para verificar se está sendo executada a versão afetada, verifique a versão do XZ:

Uma saída apontando a versão comprometida se assemelha a este exemplo:

No caso do OpenBSD, FreeBSD e outras distribuições BSD que fazem uso de utilitários de compactação nativos não estão confirmadamente vulneráveis. No entanto, análises adicionais ainda estão em andamento na comunidade de código aberto.

Comunicado CISA

A agência americana de defesa cibernética (CISA) emitiu um comunicado informando sobre o evento:

“A CISA e a comunidade de código aberto estão respondendo a relatos de código malicioso incorporado nas versões 5.6.0 e 5.6.1 do XZ Utils”. “O código malicioso pode permitir acesso não autorizado aos sistemas afetados.”

A CISA recomenda que os desenvolvedores e usuários façam o downgrade do XZ Utils para uma versão não comprometida, como a versão estável mais recente do XZ Utils (5.4.6). Além disso, é recomendado que as organizações busquem por  quaisquer sinais de atividade maliciosa em sistemas que tenham as versões comprometidas instaladas e relatem quaisquer incidentes confirmados à CISA, para investigação adicional e resposta a incidentes.

Ataque a Cadeia de Suprimentos

O fato de o código malicioso ter sido injetado nos diretamente nos tarballs por um suposto malfeitor torna este um ataque à cadeia de suprimentos de importância crítica. Os comprometimentos da cadeia de fornecimento de software são um vetor de ameaça crescente que é muito difícil de detectar e prevenir.

Neste caso em específico, ressalta-se a importância de práticas seguras de desenvolvimento de software, assinatura de código e auditoria cuidadosa de bases de código de código aberto, além de processos de arquitetura e engenharia muito bem consolidados.

Todos os usuários de distribuições Linux devem instalar imediatamente os pacotes XZ atualizados ou fazer downgrade do XZ Utils para uma versão não comprometida para mitigar esta vulnerabilidade nos sistemas afetados.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

INSIGHTS EXIMIACO

Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Segurança da Informação

Vulnerabilidades Ocultas – Por Que Seu Sistema Está Mais Exposto do Que Você Imagina

Especialista em Segurança da Informação
Segurança da Informação

Transformando Dores em Oportunidades – Como um Plano de Ação Personalizado Pode Proteger Seu Negócio

Especialista em Segurança da Informação
Segurança da Informação

Segurança Digital Estratégica – Como Aumentar a Proteção Sem Comprometer a Operação

Especialista em Segurança da Informação
0
Queremos saber a sua opinião, deixe seu comentáriox

A sua inscrição foi realizada com sucesso!

O link de acesso à live foi enviado para o seu e-mail. Nos vemos no dia da live.

Muito obrigado!

Deu tudo certo com seu envio!
Logo entraremos em contato

Backdoor Descoberto em Biblioteca de Compactação Afeta Distribuições Linux

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Backdoor Descoberto em Biblioteca de Compactação Afeta Distribuições Linux

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?