Analisi di CVE-2024-3094: Attacco alla Catena di Fornitura Multistrato Utilizzando la Backdoor di XZ Utils che Colpisce le Principali Distribuzioni Linux
Indice:
Gli esperti di cybersecurity rimangono vigili di fronte a un attacco alla catena di fornitura in corso che ha gettato un’ombra sulle distribuzioni Linux più utilizzate. Con una scala e una sofisticazione che ricorda incidenti famigerati come Log4j and SolarWinds, questa nuova minaccia proviene da una versione backdoor di XZ Utils (precedentemente LZMA Utils)—un’utilità di compressione dati essenziale presente in praticamente tutte le principali distro Linux. Per attirare l’attenzione su questa minaccia rivoluzionaria, alla backdoor è stato assegnato un identificativo di vulnerabilità CVE-2024-3094 con un grado di gravità di 10.0.
Backdoor di XZ Utils: Attacco alla Catena di Fornitura di Linux
Un compromesso critico nella catena di fornitura del software coinvolge due versioni ampiamente utilizzate della libreria di compressione dati XZ Utils, che sono state furtivamente dotate di backdoor. La backdoor consente agli avversari remoti di aggirare l’autenticazione del secure shell (sshd), concedendo loro accesso completo ai sistemi interessati. Questo attacco meticolosamente eseguito, durato più anni, suggerisce che un individuo con livello di accesso da mantenitore abbia intenzionalmente introdotto la backdoor.
Andres Freund, un ingegnere software di Microsoft che ha rilevato la sospetta configurazione errata a fine marzo, afferma che stringhe dannose sono state iniettate nel pacchetto di download tarball all’interno della versione 5.6.0 di XZ Utils rilasciata a febbraio 2024. Poco dopo, nella versione 5.6.1, gli attori della minaccia hanno aggiornato il codice dannoso per arricchirlo con ulteriore offuscamento e correggere alcuni errori nella configurazione.
Freund dichiara che il codice malevolo è stato integrato furtivamente attraverso una sequenza di commit del codice sorgente nel Progetto Tukaani su GitHub da un individuo identificato come Jia Tan (JiaT75) all’inizio di quest’anno. Il repository XZ Utils del Progetto Tukaani su GitHub è già stato disabilitato a causa di violazioni.
Al momento, le versioni di XZ Utils compromesse sono apparse esclusivamente in edizioni instabili e beta di Fedora, Debian, Kali, openSUSE, e Arch Linux distribuzioni. Debian e Ubuntu hanno confermato che nessuna delle loro versioni stabili contiene i pacchetti compromessi, garantendo la sicurezza degli utenti. Inoltre, Amazon Linux, Alpine Linux, Gentoo Linux e Linux Mint hanno dichiarato di non essere colpite dall’incidente della backdoor.
XZ Utils serve non solo come componente critico all’interno di numerose distribuzioni Linux ma anche come dipendenza fondamentale per diverse librerie. Le implicazioni di questo attacco alla catena di fornitura si estendono ampiamente attraverso l’ecosistema software. Tuttavia, poiché la backdoor non ha trovato un modo per entrare in alcuna distro Linux stabile, le possibili conseguenze sono notevolmente limitate.
Mitigazione CVE-2024-3094: Riduzione dei Rischi Legati alla Backdoor di XZ Utils
Ogni avviso (menzionato sopra) fornito dai manutentori delle principali distribuzioni Linux contiene linee guida per gli utenti per rilevare rapidamente la presenza delle versioni compromesse di XZ Utils nei loro codici base. Red Hat ha adottato misure proattive rilasciando un aggiornamento che riporta XZ alle versioni precedenti, con l’intenzione di distribuirlo attraverso i suoi canali di aggiornamento standard. Tuttavia, gli utenti preoccupati per potenziali attacchi hanno l’opzione di accelerare il processo di aggiornamento.
CISA ha aggiunto la sua voce all’appello affinché le organizzazioni che utilizzano distribuzioni Linux colpite riportino XZ Utils a una versione precedente. Sottolineano l’importanza di cercare diligentemente qualsiasi segno di attività sospette legate alla backdoor e di condividere prontamente i propri risultati con la comunità della cybersecurity.
Riassumendo quanto sopra, la routine di mitigazione dovrebbe includere i seguenti elementi di base:
- Declassamento (o aggiornamento) dei pacchetti XZ Utils a una versione sicura in base agli avvisi pertinenti;
- Blocco dell’accesso SSH esterno;
- Segmentazione della rete.
Inoltre, per assistere i cyber difensori nell’individuare possibili attività dannose legate all’esecuzione della backdoor XZ, il Team SOC Prime insieme a Arnim Rupp, Nasreddine Bencherchali e Thomas Patzke ha fornito regole Sigma correlate disponibili sulla Piattaforma SOC Prime.
Potenziale Sfruttamento di CVE-2024-3094 – Processo Figlio SSH Sospetto
Entrambe le regole aiutano a rilevare potenzialmente processi figli sospetti del processo SSH (sshd) con un utente di esecuzione specifico che potrebbe essere collegato a CVE-2024-3094. Le regole sono compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake e arricchite con un’intelligenza sulle minacce estesa.
La piattaforma di SOC Prime per la difesa cyber collettiva offre la più grande collezione al mondo di algoritmi di rilevamento basati sul comportamento per rilevare TTP degli attaccanti, supportati da soluzioni innovative di threat hunting e detection engineering create per ottimizzare le operazioni SOC. Anticipate gli attaccanti e rilevate proattivamente le minacce più famose affidandovi a SOC Prime. Scoprite di più su https://socprime.com/.
