XZ utils chiude il capitolo della backdoor con una patch che rimuove ogni riferimento al precedente, fraudolento, maintainer

3 months ago 135

Un nuovo, e forse conclusivo, capitolo si è aggiunto alla storia della backdoor inserita nelle XZ Utils: lo scorso 21 luglio 2024, Lasse Collin, l’attuale maintainer principale di XZ Utils, ha rilasciato una serie di patch aggiornate per l’implementazione della compressione embedded XZ nel Kernel Linux ed in esse ha incluso la rimozione dei “residui” derivanti il grande problema di sicurezza di cui tanto abbiamo parlato.

In particolare l’aggiornamento ha comportato:

  • L’aggiornamento alla licenza BSD Zero Clause: Il codice XZ integrato, precedentemente di pubblico dominio, è ora in linea con il progetto XZ upstream.
  • La realizzazione di Nuovi filtri per le architetture ARM64 e RISC-V.
  • Miglioramenti alla documentazione.
  • Alcune piccole correzioni al codice.
  • La rimozione di Jia Tan come maintainer: l’individuo o l’entità, in quanto non si è capito se dietro a questo nome ci fosse una persona reale responsabile dell’inserimento della backdoor nel codice XZ, è stato rimosso dall’elenco dei maintainer del kernel

Come ricorderete, il 29 marzo 2024,  lo sviluppatore di software Andres Freund, durante un’attività di test, ha notato anomalie nelle connessioni SSH  e approfondendo le analisi ha scoperto una backdoor inserita in modo dannoso nell’utility Linux xz all’interno della libreria liblzma nelle versioni 5.6.0 e 5.6.1 rilasciate proprio dall’account “Jia Tan” nel febbraio 2024.

La vulnerabilità, identificata come CVE-2024-3094, ha un punteggio di gravità pari a 10, il massimo, poiché consente l’esecuzione di codice da remoto e data la diffusione della libreria, pressoché presente in ogni distribuzione Linux, il fato ha voluto che Freund ci salvasse da un potenziale danno il cui impatto è difficile immaginare.

Due sono i fattori degni di nota in questa storia: primo, ma non in ordine di importanza, il fatto che per sfruttare questa vulnerabilità l’attaccante doveva essere  in possesso di una specifica chiave privata di crittografia, quindi solo pochi l’avrebbero potuta sfruttare  secondo il piano orchestrato. Secondo aspetto rilevante è la modalità dell’attacco da parte di Jia Tan (JiaT75), inseritosi nella community di GitHub di XZ Utils nel 2021. Nel corso di quasi tre anni, Jia Tan ha gradualmente guadagnato fiducia, contribuendo al progetto e infine ottenendo il ruolo di co-maintainer. Questo processo ha comportato una sottile strategia di ingegneria sociale, tra cui la pressione esercitata da account sospetti come Jigar Kumar e Dennis Ens per accelerare lo sviluppo del progetto e spingere il maintainer Lassie Collin ad aggiungere Jia Tan come co-maintainer. È importante sottolineare che questi account sono apparsi solo durante questo particolare periodo di discussione per manipolare la percezione e raggiungere i loro obiettivi.

Il resto, come si dice, è storia: dopo essere diventato maintainer, Jia Tan ha introdotto la backdoor nella versione 5.6.0 di XZ Utils rilasciata a febbraio 2024. Per nascondere il codice dannoso all’interno del repository pubblico su Github, JiaT75 ha utilizzato file binari compressi, posizionandoli strategicamente nella sezione del progetto dedicata ai test unitari ed utilizzando account apparentemente non correlati, come quello di Hans Jansen, per contribuire con componenti dell’exploit, mascherando ulteriormente il suo coinvolgimento e rendendo più difficile il rilevamento della backdoor.

La backdoor di XZ Utils sottolinea le sfide e le potenziali vulnerabilità all’interno degli ecosistemi software open-source, soprattutto quando i progetti dipendono dal lavoro di singoli manutentori. L’incidente servirà come monito verso l’importanza di scrutare diligentemente i contributi del codice, promuovere pratiche di sicurezza solide e sostenere la manutenzione a lungo termine di progetti critici. Rimane fondamentale per gli utenti dare la priorità all’aggiornamento dei propri sistemi con le patch più recenti e rimanere vigili contro potenziali minacce alla sicurezza informatica.

Per la ricostruzione della storia sono disponibili tutti gli articoli su tema publicati sul portale.

Da sempre appassionato e sostenitore dell’open-source, Linux e di cybersecurity di cui mi occupo anche professionalmente.

Read Entire Article