XZ utils chiude il capitolo della backdoor con una patch che rimuove ogni riferimento al precedente, fraudolento, maintainer

1 month ago 81

Un nuovo, e forse conclusivo, capitolo si è aggiunto alla storia della backdoor inserita nelle XZ Utils: lo scorso 21 luglio 2024, Lasse Collin, l’attuale maintainer principale di XZ Utils, ha rilasciato una serie di patch aggiornate per l’implementazione della compressione embedded XZ nel Kernel Linux ed in esse ha incluso la rimozione dei “residui” derivanti il grande problema di sicurezza di cui tanto abbiamo parlato.

In particolare l’aggiornamento ha comportato:

  • L’aggiornamento alla licenza BSD Zero Clause: Il codice XZ integrato, precedentemente di pubblico dominio, è ora in linea con il progetto XZ upstream.
  • La realizzazione di Nuovi filtri per le architetture ARM64 e RISC-V.
  • Miglioramenti alla documentazione.
  • Alcune piccole correzioni al codice.
  • La rimozione di Jia Tan come maintainer: l’individuo o l’entità, in quanto non si è capito se dietro a questo nome ci fosse una persona reale responsabile dell’inserimento della backdoor nel codice XZ, è stato rimosso dall’elenco dei maintainer del kernel

Come ricorderete, il 29 marzo 2024,  lo sviluppatore di software Andres Freund, durante un’attività di test, ha notato anomalie nelle connessioni SSH  e approfondendo le analisi ha scoperto una backdoor inserita in modo dannoso nell’utility Linux xz all’interno della libreria liblzma nelle versioni 5.6.0 e 5.6.1 rilasciate proprio dall’account “Jia Tan” nel febbraio 2024.

La vulnerabilità, identificata come CVE-2024-3094, ha un punteggio di gravità pari a 10, il massimo, poiché consente l’esecuzione di codice da remoto e data la diffusione della libreria, pressoché presente in ogni distribuzione Linux, il fato ha voluto che Freund ci salvasse da un potenziale danno il cui impatto è difficile immaginare.

Due sono i fattori degni di nota in questa storia: primo, ma non in ordine di importanza, il fatto che per sfruttare questa vulnerabilità l’attaccante doveva essere  in possesso di una specifica chiave privata di crittografia, quindi solo pochi l’avrebbero potuta sfruttare  secondo il piano orchestrato. Secondo aspetto rilevante è la modalità dell’attacco da parte di Jia Tan (JiaT75), inseritosi nella community di GitHub di XZ Utils nel 2021. Nel corso di quasi tre anni, Jia Tan ha gradualmente guadagnato fiducia, contribuendo al progetto e infine ottenendo il ruolo di co-maintainer. Questo processo ha comportato una sottile strategia di ingegneria sociale, tra cui la pressione esercitata da account sospetti come Jigar Kumar e Dennis Ens per accelerare lo sviluppo del progetto e spingere il maintainer Lassie Collin ad aggiungere Jia Tan come co-maintainer. È importante sottolineare che questi account sono apparsi solo durante questo particolare periodo di discussione per manipolare la percezione e raggiungere i loro obiettivi.

Il resto, come si dice, è storia: dopo essere diventato maintainer, Jia Tan ha introdotto la backdoor nella versione 5.6.0 di XZ Utils rilasciata a febbraio 2024. Per nascondere il codice dannoso all’interno del repository pubblico su Github, JiaT75 ha utilizzato file binari compressi, posizionandoli strategicamente nella sezione del progetto dedicata ai test unitari ed utilizzando account apparentemente non correlati, come quello di Hans Jansen, per contribuire con componenti dell’exploit, mascherando ulteriormente il suo coinvolgimento e rendendo più difficile il rilevamento della backdoor.

La backdoor di XZ Utils sottolinea le sfide e le potenziali vulnerabilità all’interno degli ecosistemi software open-source, soprattutto quando i progetti dipendono dal lavoro di singoli manutentori. L’incidente servirà come monito verso l’importanza di scrutare diligentemente i contributi del codice, promuovere pratiche di sicurezza solide e sostenere la manutenzione a lungo termine di progetti critici. Rimane fondamentale per gli utenti dare la priorità all’aggiornamento dei propri sistemi con le patch più recenti e rimanere vigili contro potenziali minacce alla sicurezza informatica.

Per la ricostruzione della storia sono disponibili tutti gli articoli su tema publicati sul portale.

Da sempre appassionato e sostenitore dell’open-source, Linux e di cybersecurity di cui mi occupo anche professionalmente.

Read Entire Article
  1. Homepage
  2. Linux
  3. XZ utils chiude il capitolo della backdoor con una patch che rimuove ogni riferimento al precedente, fraudolento, maintainer

Related

OpenSearch, il fork AWS di Elasticsearch, diventa una progetto della Linux Foundation, è il motivo del ritorno all’open-source di Elastic?

OpenSearch, il fork AWS di Elasticsearch, diventa una proget...

53 minutes ago 28
Ci sarà mai un mini Linus? Non si sa, ma intanto Torvalds ha rilasciato il nuovo Kernel Linux 6.11

Ci sarà mai un mini Linus? Non si sa, ma intanto Torvalds ha...

1 day ago 32
Il progetto AlmaLinux implementa una certificazione hardware per la propria distribuzione Linux

Il progetto AlmaLinux implementa una certificazione hardware...

2 days ago 32

Trending

1. Lazza
2. Helena Prestes
3. Sangiuliano denuncia Boccia
4. Antonio Conte
5. Ilaria Galassi
6. Jessica Morlacchi
7. Clarissa Burt
8. Oliviero Toscani malattia
9. Loredana Lecciso
10. Naomi Campbell

Popular

Windows 12 al debutto nel 2024 insieme alle nuove CPU Intel Meteor Lake?

Windows 12 al debutto nel 2024 insieme alle nuove CPU Intel ...

1 year ago 7189
PNRR, il Governo dice no alla ‘quota cyber’ per mettere più in sicurezza l’ecosistema digitale in Italia. Perché?

PNRR, il Governo dice no alla ‘quota cyber’ per mettere più ...

1 year ago 7173
Google Drive, limite 5 milioni di elementi per ogni account

Google Drive, limite 5 milioni di elementi per ogni account

1 year ago 7032
Company of Heroes 3 la recensione

Company of Heroes 3 la recensione

1 year ago 6950
Come avere subito il nuovo Paint con tema scuro di Windows 11

Come avere subito il nuovo Paint con tema scuro di Windows 1...

2 years ago 6886
English (US) English (US)
About Us · Contact Us · Terms & Conditions ·

© Il Portale Del Nerd 2024. All rights are reserved