CVE-2024-3094: analisi approfondita della vulnerabilità nella Libreria XZ Utils

Il 29 marzo 2024 è stata divulgata una vulnerabilità di sicurezza critica, la CVE-2024-3094.
Questa vulnerabilità coinvolge codice dannoso inserito nei pacchetti upstream di XZ Utils a partire dalla versione 5.6.0.
L’analisi che seguirà mira a fornire una comprensione generale della vulnerabilità, del suo impatto, delle versioni interessate e dei passaggi di mitigazione.

Descrizione della vulnerabilità
Impatto della vulnerabilità
Mitigazione della vulnerabilità
Rilevamento

Descrizione della vulnerabilità

CVE-2024-3094 è un attacco alla supply chain che influisce sul pacchetto software XZ Utils, in particolare sul componente liblzma.
Il codice dannoso era abilmente nascosto all’interno del codice sorgente. Durante il processo di build di liblzma, un file oggetto viene estratto da un file di test mascherato, che poi modifica specifiche funzioni nella libreria. La libreria liblzma risultante può intercettare e alterare le interazioni dei dati per qualsiasi software collegato ad essa.

Caratteristiche chiave

Offuscamento complesso: il codice dannoso utilizza tecniche sofisticate per rimanere inosservato durante il processo di build.
Modifica delle funzioni: modifica specifiche funzioni di liblzma, consentendo la manipolazione non autorizzata dei dati.
Esecuzione di codice remoto: la backdoor consente agli attaccanti di eseguire codice arbitrario sui sistemi compromessi intercettando la funzione RSA_public_decrypt e utilizzando una chiave fissa Ed448 per la verifica dell’host. Se la verifica ha esito positivo, l’attaccante può eseguire comandi tramite la funzione system() senza lasciare tracce nei log di sshd.

Impatto della vulnerabilità

L’impatto più critico di CVE-2024-3094 è la possibilità di eseguire codice da remoto (RCE) e ottenere accessi non autorizzati tramite SSH.
Questa backdoor può essere sfruttata per aggirare i meccanismi di autenticazione di sshd, portando a gravi violazioni della riservatezza, integrità e disponibilità dei sistemi colpiti. La vulnerabilità ha un punteggio base CVSS 3.1 di 10.0, che ne indica la natura critica.

Versioni software interessate dalla vulnerabilità

La vulnerabilità interessa XZ Utils a partire dalla versione 5.6.0.
Le distribuzioni e le versioni specifiche includono:

Kali Linux: Build dal 26 al 29 marzo 2024.
openSUSE Tumbleweed e MicroOS: Build dal 7 al 28 marzo 2024.
Fedora 41, Rawhide e Fedora Linux 40 beta.
Debian: Distribuzioni di testing instabili e sperimentali.
Arch Linux: Immagini container dal 29 febbraio al 29 marzo 2024.

Parallelamente, le versioni stabili di Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono interessate.

Mitigazione della vulnerabilità

Per mitigare l’impatto di CVE-2024-3094, si raccomandano i seguenti passaggi:

Gli utenti devono eseguire il downgrade di XZ Utils a una versione non interessata, come la 5.4.6, il prima possibile.
Eseguire scansioni approfondite per rilevare eventuali segni di attività dannosa. Utilizzare la regola Yara fornita per CVE-2024-3094 per identificare le istanze vulnerabili.
Se un sistema è stato compromesso, cambiare tutte le credenziali potenzialmente compromesse.
Assicurarsi che i sistemi siano aggiornati regolarmente con le ultime patch di sicurezza.

Rilevamento

Per rilevare la presenza della backdoor, i team di sicurezza possono utilizzare regole Yara specifiche sviluppate per CVE-2024-3094. Inoltre, monitorare attività insolite e chiamate di sistema non autorizzate attraverso i log di sistema e strumenti di sicurezza è cruciale.

CVE-2024-3094 evidenzia la crescente minaccia degli attacchi alla supply chain nell’ecosistema del software open-source. Questo incidente sottolinea la necessità di pratiche di sicurezza rigorose, inclusi revisioni del codice, scansioni delle vulnerabilità e patch tempestive. Sebbene la maggior parte delle distribuzioni Linux stabili non sia stata interessata, il potenziale impatto della vulnerabilità serve come promemoria dell’importanza della vigilanza nella sicurezza del software.

Per ulteriori informazioni dettagliate, fare riferimento agli avvisi ufficiali e agli aggiornamenti delle distribuzioni e delle organizzazioni di sicurezza colpite. Rimanere informati e proattivi nella protezione dei propri sistemi contro minacce così sofisticate è fondamentale.

Riferimenti

Seguendo questi passaggi e rimanendo vigili, la comunità della cybersecurity può meglio proteggersi dai rischi posti da vulnerabilità come CVE-2024-3094.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.