Análise do CVE-2024-3094: Ataque à Cadeia de Suprimentos em Várias Camadas Usando Backdoor em XZ Utils Afeta Principais Distribuições Linux
Índice:
Especialistas em cibersegurança permanecem vigilantes em meio a um ataque contínuo à cadeia de suprimentos que lançou uma sombra sobre as distribuições Linux mais amplamente utilizadas. Com sua escala e sofisticação lembrando incidentes infames como Log4j and SolarWinds, esta nova ameaça emana de um XZ Utils com backdoor (anteriormente LZMA Utils) — uma utilidade essencial de compressão de dados encontrada em praticamente todas as principais distribuições Linux. Para chamar a atenção para essa ameaça revolucionária, o backdoor furtivo recebeu um identificador de vulnerabilidade CVE-2024-3094 com uma classificação de severidade de 10.0.
Backdoor XZ Utils: Ataque à Cadeia de Suprimentos Linux
Um comprometimento crítico da cadeia de suprimentos de software envolve duas versões amplamente utilizadas da biblioteca de compressão de dados XZ Utils, que foram secretamente infiltradas por backdoor. O backdoor permite que adversários remotos contornem a autenticação de shell seguro (sshd), concedendo-lhes acesso completo aos sistemas afetados. Este ataque meticulosamente executado, ao longo de vários anos, sugere que um indivíduo com acesso ao nível de mantenedor introduziu deliberadamente o backdoor.
Andres Freund, engenheiro de software da Microsoft que detectou a configuração suspeita em março, afirma que strings maliciosas foram injetadas no pacote de download do tarball dentro da versão 5.6.0 do XZ Utils emitida em fevereiro de 2024. Logo depois, na versão 5.6.1, os atores de ameaça atualizaram o código malicioso para aprimorá-lo com maior obfuscação e corrigir alguns erros na configuração.
Freund afirma que o código malicioso foi furtivamente integrado por meio de uma sequência de commits de código-fonte no Projeto Tukaani no GitHub por um indivíduo identificado como Jia Tan (JiaT75) no início deste ano. O repositório XZ Utils do Projeto Tukaani no GitHub já foi desabilitado devido a violações.
Até agora, as versões afetadas de XZ Utils apareceram exclusivamente nas edições instáveis e beta de Fedora, Debian, Kali, openSUSEe Arch Linux distribuições. Debian e Ubuntu confirmaram que nenhuma de suas versões estáveis contém os pacotes comprometidos, garantindo a segurança do usuário. Além disso, Amazon Linux, Alpine Linux, Gentoo Linux e Linux Mint afirmaram não ser afetados pelo incidente do backdoor.
XZ Utils serve como um componente crítico não apenas dentro de muitas distribuições Linux, mas também como uma dependência fundamental para várias bibliotecas. As implicações deste ataque à cadeia de suprimentos se espalham amplamente pelo ecossistema de software. No entanto, uma vez que o backdoor não conseguiu atingir nenhuma distribuição Linux estável, as possíveis consequências são consideravelmente limitadas.
Mitigação do CVE-2024-3094: Reduzindo Riscos Associados ao Backdoor XZ Utils
Cada conselho (mencionado acima) fornecido pelos mantenedores das principais distribuições Linux contém orientações para os usuários detectarem rapidamente a presença das versões comprometidas do XZ Util em seus códigos. A Red Hat tomou medidas proativas ao lançar uma atualização que reverte o XZ para versões anteriores, com planos de distribuí-la por meio de seus canais de atualização padrão. No entanto, usuários preocupados com possíveis ataques têm a opção de acelerar o processo de atualização.
CISA se soma ao apelo para que organizações que utilizam distribuições Linux impactadas retrocedam suas XZ Utils para uma versão anterior. Eles ressaltam a importância de buscar diligentemente qualquer sinal de atividade suspeita ligada ao backdoor e compartilhar suas descobertas prontamente com a comunidade de cibersegurança.
Resumindo o acima, a rotina de mitigação deve incluir o básico a seguir:
- Rebaixamento (ou atualização) dos pacotes XZ Util para uma versão segura com base no comunicado relevante;
- Bloqueio de acesso SSH externo;
- Segmentação de rede.
Além disso, para ajudar os defensores cibernéticos a identificar possíveis atividades maliciosas vinculadas à execução de backdoor XZ, a equipe SOC Prime junto com Arnim Rupp, Nasreddine Bencherchali e Thomas Patzke forneceram regras Sigma relacionadas disponíveis na Plataforma SOC Prime.
Execução Suspeita do Interpretador SH via Conexão SSH em Distribuições Linux Modernas (via cmdline)
Possível Exploração do CVE-2024-3094 – Processo Filho SSH Suspeito
Ambas as regras ajudam a detectar um possível processo filho suspeito do processo SSH (sshd) com um usuário de execução específico que pode estar possivelmente vinculado ao CVE-2024-3094. As regras são compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake e enriquecidas com extensa inteligência de ameaças.
A Plataforma do SOC Prime para defesa cibernética coletiva oferece a maior coleção do mundo de algoritmos de detecção baseados em comportamento para detectar TTPs dos atacantes, respaldada por soluções inovadoras de caça às ameaças e engenharia de detecção criadas para otimizar as operações do SOC. Mantenha-se à frente dos atacantes e detecte proativamente ameaças notórias contando com o SOC Prime. Explore mais em https://socprime.com/.
