Un dipendente Microsoft salva accidentalmente il crollo globale di Linux dalla backdoor CVE-2024-3094 XZ

Oggi Microsoft ha rilasciato le sue linee guida e avvisi relativi alla vulnerabilità backdoor XZ Utils, identificata come CVE-2024-3094. Questa falla di sicurezza ha un punteggio CVSS di 10,0 e ha il potenziale di avere un impatto su una serie di distribuzioni Linux, tra cui Fedora, Kali Linux, OpenSUSE e Alpine, con conseguenze globali significative.

Fortunatamente, Andres Freund, uno sviluppatore Microsoft Linux, si è imbattuto nella vulnerabilità appena in tempo. Era incuriosito dal ritardo di 500 ms nelle connessioni della porta SSH (Secure Shell) e ha deciso di indagare ulteriormente, rivelando infine una backdoor dannosa nascosta nel compressore di file XZ.

Al momento, VirtusTotal ha identificato solo quattro fornitori di sicurezza, tra cui Microsoft, su un totale di 63, che rilevano accuratamente l’exploit come dannoso.

Pertanto, l’acuta capacità di osservazione dell’ingegnere Microsoft merita un riconoscimento in questa situazione, poiché è probabile che altri non si sarebbero presi il tempo di indagare. Questo evento sottolinea inoltre la vulnerabilità del software open source allo sfruttamento da parte di malintenzionati.

Se sei preoccupato, tieni presente che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state compromesse. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti consiglia di utilizzare versioni precedenti e sicure.

In conformità con le linee guida consigliate, gli utenti possono confermare la presenza di software vulnerabile su un sistema eseguendo il seguente comando in SSH con privilegi di amministratore:


xz --version

Inoltre, sono disponibili anche strumenti di scansione e rilevamento di terze parti. Le società di ricerca sulla sicurezza Qualys e Binarly hanno reso pubblici i propri strumenti di rilevamento e scansione, consentendo agli utenti di determinare se il loro sistema è stato interessato.

L’ultima versione di VULNSIGS, 2.6.15-6, è stata rilasciata da Qualys e la vulnerabilità è stata identificata come “379548” nel QID (Qualys Vulnerability Detection ID).

Inoltre, Binarly ha recentemente lanciato uno scanner backdoor XZ gratuito. Questo strumento è progettato per identificare eventuali versioni compromesse di XZ Utils e visualizzerà una notifica di rilevamento “XZ impianto dannoso” al momento del rilevamento.

Ulteriori informazioni tecniche sulla vulnerabilità possono essere trovate sui siti web di Binarly e Qualys. Entrambe le società hanno pubblicato articoli che parlano del puzzle della catena di approvvigionamento di XZ Utils e della backdoor CVE-2024-3094.