Incredibile, malware nelle distro Red Hat, Debian e altre per via delle XZ Utils

Una notizia davvero poco piacevole sta scuotendo il mondo Linux. Uno sviluppatore indipendente, Andres Freund, ha scoperto la presenza di codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, pacchetto integrato nelle principali distribuzioni.

Le XZ Utils sono un insieme di strumenti software progettati per la compressione e la decompressione dei file utilizzando l’algoritmo LZMA/LZMA2. Integrano diversi strumenti, tra cui xz, il programma principale per la compressione e la decompressione dei file: è spesso utilizzato nel contesto della compressione dei file di grandi dimensioni, come distribuzioni di sistemi operativi, archivi di dati e altro ancora, in quanto offre un’elevata compressione con un buon equilibrio tra prestazioni e dimensioni del file compresso.

I tool di XZ Utils sono spesso disponibili come parte delle distribuzioni di Linux e sono utilizzati in vari contesti per la compressione e la decompressione dei file.

Versioni dannose di XZ Utils avvistate in alcune distribuzioni Linux, tra cui Red Hat e Debian

Freund si è accorto che le più recenti versioni di XZ Utils ospitano una pericolosa backdoor che può essere attivata per accedere, senza alcuna autorizzazione, ai sistemi infetti. Nello specifico, le release dannose di XZ Utils alterano la funzioni di sshd, il file binario che gestisce il funzionamento di SSH.

Il codice malevolo sarebbe presente da oltre un mese (addirittura dal 23 febbraio 2024) e direttamente inserito da un collaboratore del progetto XZ Utils, con tanti anni di cooperazione alle spalle. Questo ha sollevato dubbi sul coinvolgimento diretto dello sviluppatore, facendo piuttosto ipotizzare una compromissione dei suoi sistemi.

Le versioni dei sistemi operativi coinvolte

Al momento non sembra che le versioni modificate di XZ Utils fossero utilizzate in produzione. I responsabili dei progetti Red Hat e Debian hanno comunque riferito che alcune release beta recentemente pubblicate, utilizzavano almeno una delle release “infette” di XZ Utilis (nello specifico Fedora Rawhide e Debian testing, unstable ed experimental). Anche una release stabile di Arch Linux risulta essere interessata.

Alcuni utenti hanno segnalato che diverse applicazioni incluse nel gestore di pacchetti HomeBrew per macOS si affidano alla versione 5.6.1 di XZ Utils. HomeBrew ha nel frattempo ripristinato la versione 5.4.6 dell’utilità per azzerare qualunque rischio.

Fortunatamente, l’esistenza della backdoor è stata scoperta prima che le versioni infette di XZ Utils fossero integrate nelle versioni di produzione di Linux. Tuttavia, gli esperti osservano che, se ciò non fosse avvenuto per tempo, l’impatto sarebbe potuto essere catastrofico.

Come verificare se i propri sistemi sono interessati dalla problematica

Abbiamo già sottolineato che la backdoor inserita nel pacchetto XZ Utilis compromette l’autenticazione SSH, protocollo ampiamente utilizzato per connettersi in remoto ai sistemi Linux.

Gli utenti sono perciò invitati a controllare immediatamente se i loro sistemi risultino vulnerabili. Lo script detect.sh, fornito in calce a questo post, e sviluppato da Vegard Nossum, aiuta a verificare se un sistema fosse vulnerabile o meno.

Sebbene la scoperta della backdoor sia stata tempestiva, l’incidente evidenzia la necessità di rafforzare la sicurezza nelle catene di approvvigionamento del software open source e di mantenere alta la guardia per proteggere gli utenti da potenziali minacce informatiche.