Appena tre giorni fa, il 29 marzo 2024, un nuovo attacco è stato scoperto.
Un attacco che ha interessato un software open source che fa parte dei principali pacchetti di Linux, si tratta di XZ / liblzma library, un tool di compressione molto noto.
Il ricercatore e sviluppatore Andres Freund ha scoperto infatti che nelle ultime due versioni del github xz project (5.6.0 di febbraio 2024 e 5.6.1 di marzo) è stata introdotta una vulnerabilità valutata con il livello 10 di criticità che consente ad un hacker di collegarsi da remoto, in pratica una backdoor.
Tante sono le distribuzioni Linux impattate, tra queste vi è Kali Linux, Fedora 40, Gentoo e Debian Sid ed altre.
Tante le considerazioni da fare su questo tipo di attacco.
Per cominciare occorre dire che la backdoor è stata inserita da uno di coloro che dovrebbero garantire il mantenimento del software su github, in teoria dunque qualcuno di cui ci si dovrebbe poter fidare. Questo è un punto importante perchè mina la fiducia nei software open source, in teoria più sicuri perchè ispezionabili da chiunque lo voglia (e ne sia in grado), in pratica spesso gestiti con personale che presta la sua opera solo saltuariamente e non sempre di provata affidabilità.
La seconda considerazione riguarda proprio una delle distribuzioni colpite, Kali Linux. Per chi non lo sapesse Kali Linux è considerato il sistema operativo specializzato per la cyber security in quanto dotato di innumerevoli strumenti. Un colpo alla fiducia verso Kali Linux!
La terza considerazione riguarda il fatto che la libreria liblzma è utilizzata da numerosi altri tool, tra cui OpenSSH. OpenSSH è un altro software opensource che consente ad un utente di collegarsi ad un computer da remoto se provvisto delle corrette credenziali. La backdoor introdotta sembra agisca proprio sul processo di autenticazione, effettuando una verifica preventiva sulla chiave inserita dall'hacker e autorizzando la sua connessione in caso di risposta positiva. Ciò vuol dire avere accesso illimitato al sistema attaccato. Ancora una volta tutto ciò va a detrimento della fiducia che si dovrebbe avere nei confronti dei software di sicurezza.
Credo che per ora ci sia poco altro da dire se non che l'incidente è attualmente sotto investigazione e può darsi che vi saranno novità interessanti a breve.
Vediamo che succede.
Alessandro Rugolo
Per approfondire:
- https://www.openwall.com/lists/oss-security/2024/03/29/4
- https://jfrog.com/blog/xz-backdoor-attack-cve-2024-3094-all-you-need-to-know/
- https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html
- https://news.ycombinator.com/item?id=39880874
- https://www.suse.com/c/suse-addresses-supply-chain-attack-against-xz-compression-library/
- https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27