Linux: migre o diretório inicial para outra unidade
30 de março de 2024A IA generativa pode ajudar a resolver a lacuna de recursos de segurança cibernética?
31 de março de 2024Talvez você nunca tenha ouvido falar do código de compactação de dados xz, mas ele é vital para vários programas e agora sabemos que alguém plantou código malicioso nele.
Quando Chapéu Vermelhoprimeiro deu a notícia de que o a versão mais recente das bibliotecas de compactação de dados xz continha uma armadilha, As pessoas estavam preocupadas, mas não muito preocupadas. Afinal, eles raciocinaram, a princípio parecia que muitos pensaram que era apenas mais uma falha de segurança. Enquanto outros pensavam que se isso apenas afectasse o FedoraLinux 40 betaquão ruim poderia ser?
A resposta: Muito, muito ruim mesmo.
Veja bem, embora ninguém em sã consciência executaria um Fedora beta em produção, o problema não é com o Fedora. Está com o novo bibliotecas xz: xz-libs-5.6.0-1.fc40.x86_64.rpm e xz-libs-5.6.0-2.fc40.x86_64.rpm.
As bibliotecas contêm códigos maliciosos projetados para permitir que invasores assumam o controle dos sistemas, com acesso não autorizado. Esse malware backdoor foi gravado no repositório xz upstream e depois colocado em seus tarballs.
Em uma palavra que é ruim, com letras maiúsculas.
A Red Hat forneceu este código malicioso em seu CVE-2024-3094 relate a classificação mais alta possível do Common Vulnerability Scoring System (CVSS) de 10. Ou, como gosto de chamar esse nível de bug, é “rasgue o cabo de alimentação da parede agora e poupe qualquer dor adicional”.
Andres Freund, principal engenheiro de software da Microsoft, analisou o malware xz. Freund descobriu que o invasor injetou um script ofuscado que ativou o backdoor. Em alguns casos, seu ataque principal não funcionava e o único resultado era desacelerar enormemente SSH logins.
Na verdade, no caso do popular programa SSH OpenSSH, você nem precisa iniciá-lo como um servidor para que o efeito de desaceleração atinja seu sistema. Como o SSH é essencial para o desenvolvimento e administração do Linux, isso é mais do que ruim.
O que realmente torna isso um grande problema do PITA é que essas bibliotecas não estão apenas no Fedora. Oh meu Deus, não. Xz é um utilitário central do Linux. Você encontrará essas bibliotecas em todos os lugares.
A coisa mais preocupante sobre este incidente é que parece que um mantenedor confiável do xz, Jia Tan, foi o hacker.
Freund disse: “Dada a atividade durante várias semanas, o committer está diretamente envolvido ou houve algum comprometimento bastante grave de seus nsistema. Infelizmente, esta última parece ser a explicação menos provável, dado que eles comunicaram em várias listas sobre as ‘correções’ mencionadas acima.”
Embora código malicioso já tenha sido injetado em código-fonte aberto confiável por mantenedores, é uma ocorrência verdadeiramente rara. Até onde sei, isso nunca aconteceu com um utilitário Linux importante antes.
Ah, sim, pode haver mais cobras de segurança escondidas na grama. Freund admite: “Eu sou”. nãoum pesquisador de segurança, nem um engenheiro reverso. Há muitas coisas que não analisei, e a maior parte do que observei foi puramente por observação, em vez de analisar exaustivamente o código backdoor.”
A boa notícia – há algumas – é que xz 5.6.0 e 5.6.1 ainda não foram amplamente incluídos nas distribuições Linux. Onde foi incorporado, o código esteve principalmente em versões de pré-lançamento. A má notícia é que, além do Fedora, ele já está nas primeiras versões do Debian, openSUSE, Ubuntu, etc. Você escolhe, e é uma distribuição de ponta ou beta, é provável que o código incorreto esteja escondido dentro dela.
Então, o que você pode fazer sobre isso? Bem, a sugestão padrão é reverter do xz 5.6.0/5.6.1. Mas, alerta o desenvolvedor Debian Joey Hess, isso pode não ser suficiente. Hess teme que Tan possa ter escondido outros backdoors em xz. Hess sugere que você volte para xz 5.3.1.
Se, é claro, você puder encontrar esse código. GitHub desativou o repositório xz. Esta é realmente uma bagunça de segurança estrondosa de primeira classe.
Há muito tempo as pessoas se preocupam com a qualidade do código do xz e, na verdade, com algumas das premissas básicas do projeto. Com esse erro, acho que é hora de considerar seriamente extrair xz e substituí-lo do código-fonte.
A maioria dos usuários não será afetada por esse malware, mas se ele não fosse detectado por mais dois ou três meses, todos os usuários do Linux teriam enfrentado o maior desastre de segurança de todos os tempos.
O posto Código malicioso em bibliotecas Linux xz põe em perigo o SSH apareceu pela primeira vez em The New Stack.