Por que isso importa: Por acaso, o pesquisador da Microsoft Andres Freund encontrou um código malicioso que poderia quebrar a autenticação sshd. Se não tivesse sido descoberto, poderia representar uma grave ameaça ao Linux. A comunidade de código aberto reagiu ao incidente, reconhecendo a natureza fortuita da descoberta e como felizmente ela foi detectada cedo, antes que pudesse representar um risco significativo para a comunidade Linux em geral.
Andres Freund, um desenvolvedor de PostgreSQL na Microsoft, estava fazendo alguns micro-benchmarking de rotina quando percebeu um pequeno atraso de 600 ms nos processos ssh, notando que eles estavam usando uma quantidade surpreendente de CPU, embora devessem falhar imediatamente, de acordo com seu publicar no Mastodonte.
Uma coisa levou à outra e Freund acabou se deparando com um ataque à cadeia de suprimentos envolvendo código malicioso ofuscado no pacote XZ. Ele postou sua descoberta no Lista de discussão de segurança de código aberto e a comunidade de código aberto partiu daí.
tentei explicar aos meus amigos não técnicos hoje que um engenheiro que depurou um atraso de 500 ms salvou toda a web, potencialmente toda a civilização
– Peer Richelsen – oss/acc (@peer_rich) 30 de março de 2024
A comunidade de desenvolvedores tem descoberto rapidamente como esse ataque foi astuciosamente injetado nos utilitários XZ, um pequeno projeto de código aberto mantido por um único desenvolvedor não remunerado desde pelo menos 2009. A conta associada aos commits ofensivos aparentemente jogou um jogo longo, ganhando lentamente a confiança do desenvolvedor do XZ, o que levou à especulação que o autor do código malicioso é um invasor sofisticado, possivelmente afiliado a uma agência estatal.
Oficialmente chamado de CVE-2024-3094, possui a pontuação CVSS mais alta possível, 10. Red Hat relatórios que o código malicioso modifica funções dentro da liblzma, que é uma biblioteca de compactação de dados que faz parte do pacote de utilitários XZ e é parte fundamental de várias distribuições importantes do Linux.
O esgotamento do mantenedor de código aberto é um perigo claro e presente à segurança. O que estamos fazendo sobre isso? https://t.co/GZETWimy5i
– Ian Coldwater �”��’� (@IanColdwater) 29 de março de 2024
Este código modificado pode então ser utilizado por qualquer software vinculado à biblioteca XZ e permitir a interceptação e modificação dos dados utilizados com a biblioteca. Sob certas condições, de acordo com Freund, esse backdoor pode permitir que um agente mal-intencionado quebre a autenticação sshd, permitindo que o invasor obtenha acesso a um sistema afetado. Freund também relatou que as versões 5.6.0 e 5.6.1 dos utilitários XZ foram afetadas.
O backdoor xz está, bem, incendiando todo o ecossistema Linux… mas também estou muito impressionado com a forma como ele foi configurado: manutenção de 2 anos, oss-fuzz, etc.
… e quem sabe quanto tempo teria passado despercebido se o código sshd injetado fosse executado mais rápido (<600ms)
Destaques:
–Danny Lin (@ kdrag0n) 30 de março de 2024
A Red Hat identificou pacotes vulneráveis no Fedora 41 e no Fedora Rawhide, aconselhando os usuários a interromper o uso até que uma atualização esteja disponível, embora o Red Hat Enterprise Linux (RHEL) permaneça inalterado. SUSE lançou atualizações para openSUSE (Tumbleweed ou MicroOS). As versões estáveis do Debian Linux são seguras, mas as versões de teste, instáveis e experimentais requerem atualizações do xz-utils devido a pacotes comprometidos. Os usuários do Kali Linux que atualizaram entre 26 e 29 de março precisam atualizar novamente para uma correção, enquanto aqueles que atualizaram antes de 26 de março não são afetados por esta vulnerabilidade.
No entanto, como observaram muitos investigadores de segurança, a situação ainda está em desenvolvimento e mais vulnerabilidades poderão ser descobertas. Também não está claro qual seria a carga útil. A Agência de Segurança Cibernética e de Infraestrutura dos EUA aconselhado pessoas façam o downgrade para uma versão de utilitários XZ não comprometida, que seria anterior à 5.6.0. As empresas de segurança também estão aconselhando desenvolvedores e usuários a realizar testes de resposta a incidentes para ver se foram impactados e, caso tenham, reportá-los à CISA.
Isso explica como o backdoor xz foi encontrado pic.twitter.com/n9rNjvawHU
– myq (@ mippl3) 30 de março de 2024
Felizmente, não parece que essas versões afetadas tenham sido incorporadas em quaisquer versões de produção das principais distribuições Linux, mas Will Dormann, analista sênior de vulnerabilidades da empresa de segurança Analygence, disse à Ars Technica que esta descoberta foi por um triz. “Se não tivesse sido descoberto, teria sido catastrófico para o mundo”, disse ele.