Un ingegnere di Microsoft (Andres Freund) ha scoperto casualmente una backdoor in XZ Utils, un tool di compressione presente in quasi tutte le distribuzioni Linux. Fortunatamente non è stato ancora incluso nelle release stabili, quindi è stata subito ripristinata la versione precedente del tool. Il repository su GitHub è stato disattivato.
Pericolosa backdoor per connessioni SSH
L’ingegnere di Microsoft stava effettuando alcuni benchmark con una versione preliminare di Debian, quando ha notato che il login con SSH consumava le risorse della CPU. Analizzando il processo sshd ha scoperto che la colpa era della libreria liblzma (inclusa in XZ Utils). Nel codice delle versioni 5.6.0 e 5.6.1 del tool è stata nascosta una backdoor.
Quest’ultima è stata introdotta il 23 febbraio mediante codice offuscato. L’aggiornamento del giorno successivo includeva uno script che inietta la backdoor in liblzma. Le modifiche al codice sono state effettuate da un certo “Jia Tan” che ha cercato di convincere i vari maintainer ad inserire le versioni infette di XZ Utils nelle distribuzioni.
La backdoor entra in funzione quando l’utente effettua il login con SSH per aggirare la protezione durante l’autenticazione. Un malintenzionato può quindi accedere da remoto al sistema. RedHat ha ripristinato le versioni 5.4.x in Fedora 40 beta e Fedora Rawhide, mentre Debian ha ripristinato la versione 5.4.5.
Aggiornamento (3/04/2024): Binarly ha rilasciato un tool che permette di rilevare la presenza della backdoor.