Libreria XZ, nuove vulnerabilità?

Home » Libreria XZ, nuove vulnerabilità?

Nel 2021 il mondo dell’IT è stato scosso dalla vulnerabilità LOG4J.
I recenti eventi legati alla libreria XZ stanno facendo parlare di sè allo stesso modo!

Intanto che cos’è XZ?
XZ è una libreria open source largamente utilizzata per comprimere i dati. Nella sua ultima versione, lo sviluppatore ha volutamente inserito del codice malevolo nella libreria lzma, che permette l’esecuzione di codice da remoto su un server che ha l’interfaccia ssh esposta, SENZA autenticazione.

Piccolo background tecnico (che non sarà noioso ve lo prometto). XZ è talmente efficiente a tal punto che viene utilizzata da molti altri software che necessitano di comprimere dati. Tra gli utilizzatori c’è anche OpenSSH, che serve per gestire le connessioni sicure tra client e server a livello di shell (linea di comando per i profani).

La vulnerabilità quindi permetterebbe ad un malintenzionato di connettersi ad un server, senza credenziali ed eseguire codice da remoto, e qua vi lascio immaginare la portata dei danni che si potrebbero fare.

Fortunatamente la vulnerabilità è stata identificata molto rapidamente (3 settimane circa di operatività), ma ciò che fa parlare della vicenda è la storia di come sia avvenuta questa compromissione.

Questa vulnerabilità non si origina da una svista di uno sviluppatore, ma bensì di un’azione deliberata, a tal punto che lo sviluppatore avrebbe fatto pressioni perchè venisse approvata la pubblicazione della libreria compromessa, e l’adozione di essa da parte delle versioni beta di Debian e Redhat.

Andando a ricostruire i fatti quello che emerge è un’azione degna dei migliori film di spionaggio… Uno sviluppatore che si fa chiamare Jia Tan avrebbe nel tempo (si parla di un periodo di 2 anni), ottenuto la fiducia dei mantenitori del progetto, e grazie a uno sforzo costante è riuscito a farsi eleggere come manutentore upstream per il progetto XZ Utils. Inoltre sembrerebbe che Jia Tan abbia utilizzato degli account fasulli per inviare una miriade di richieste di implementazione e di lamentele per dei bug, per fare pressione sui responsabili originali del progetto, portandoli a dover ingaggiare un’altro manutentore (in questo caso lo stesso Jia Tan).

Dopo 2 lunghi anni di contributi Jia Tan ha ottenuto nel 2023 i diritti di release e ha inserito i cambiamenti che darebbero origine alla backdoor.

Tali tipologie di azioni, così strutturate e dilazionate nel tempo, sono solitamente sinonimo di gruppi APT, quindi probabilmente entità governative con risorse pressocchè illimitate.

Per controllare se le vostre macchine sono affette basterà verificare la versione di XZ tramite il comando: xz –Version . Le versioni “incriminate” sono la 5.6.0 e la 5.6.1

Per risolvere basterà effettuare il downgrade alle 5.4.6 (stable) e per farlo basterà fare l’aggiornamento dei pacchetti (in quanto la versione vulnerabile è stata rimossa da tutti i repo, github compreso).

Controllate subito, non aspettate il patch day, si tratta di una falla gravissima! Stay Safe!

Altri Articoli

La NIS2 manda in pensione la NIS

Mirai: carta d’identità di un malware

Broken Access Control

Cryptographic Failures

Operazione Endgame

A lezione di hacking: il watering hole

Terre d’Acqua

Quali sono stati i benefici che le analisi effettuate hanno portato a Terre d'Acqua?

Noi, "Terre d'Acqua", ci siamo trovati di fronte alla necessità di migliorare la nostra infrastruttura VoIP e di esaminare a fondo le possibili vulnerabilità del nostro sistema informatico.   Affidarsi a un Penetration Test è stata la scelta giusta. Abbiamo identificato e risolto diverse criticità in modo efficace. Tuttavia, il momento di svolta è stato con Foresight, che ha scoperto un grave incidente informatico risalente a una decina di anni fa, con il furto di credenziali email e serie compromissioni sul nostro server proxy che avevano facilitato invii massivi di spam da parte di account compromessi. Questa scoperta, alquanto allarmante, ha segnato un punto di svolta cruciale per la nostra consapevolezza e gestione della sicurezza informatica. Grazie alla prontezza e professionalità di Cybe, abbiamo rafforzato le nostre difese, raggiungendo un livello di sicurezza che ci garantisce una grande tranquillità. L'approccio combinato di Penetration Test e Foresight si è rivelato una formula di successo, assicurandoci una copertura sicurezza completa e proattiva.

Perché sceglierebbe di lavorare ancora con Cybe?

La nostra precedente collaborazione con Cybe e il bisogno di un servizio su misura e di alta qualità ci hanno fatto riflettere sul futuro del nostro rapporto.   Cybe ha dimostrato un rapporto qualità-prezzo senza pari e una straordinaria capacità di adattarsi alle nostre esigenze, proponendoci un Penetration Test in modalità black box, partendo esclusivamente dal nome del nostro dominio, una flessibilità non riscontrata altrove.
La nostra analisi di mercato ha evidenziato che il servizio Foresight, pur essendo di alta gamma, ci viene offerto a condizioni vantaggiose da Cybe. Questo mix di professionalità e personalizzazione del servizio ci ha convinti senza dubbi a proseguire la nostra collaborazione con Cybe, certi di avere al fianco un partner affidabile e all'avanguardia nel campo della cyber security.

Questa testimonianza ti ha ispiratə?

CCM

Quali sono stati i benefici che le analisi effettuate le hanno portato?

La scelta di eseguire l’analisi “Red Teaming” nasce dalla necessità di affidare a terzi una verifica della postura aziendale in termini di cyber security, terzi che, seppur non direttamente coinvolti nelle attività implementative dei sistemi esistenti, siano conosciuti e competenti.
L’attività di verifica effettuata ha portato delle piacevoli conferme (il lavoro di formazione sul personale ha portato a reazioni affidabili sotto tutti i punti di vista), come si sono scoperte falle che non si pensava di dover gestire (porte aperte su router in gestione all’operatore che fornisce la connettività).
Oltre a questo sono emerse criticità su servizi gestiti da terzi, anche in questo caso si è sempre convinti che appaltare all’esterno lo si possa fare senza accertarsi della reale capacità del fornitore nel valutare in modo corretto anche l’ambito della sicurezza, dimenticando che i terzi si presentano con il nostro nome e che se gestiscono servizi business critical, il fatto che vengano messi in condizione di non essere fruiti, crea un forte danno aziendale sia in termini operativi che reputazionali.
Ultimo aspetto evidenziato riguarda i più sofisticati sistemi da gestione degli end point (EDR, XDR, ecc.) che “sulla carta” sembra che facciano cose “mirabolanti” (tutti oggi parlando di servizi in cloud gestiti dall’IA) ma a volte, alla prova dei fatti, si comportano come i normali “antivirus” da tutti definiti come obsoleti.
In conclusione ritengo che attività di questo tipo siano indispensabili per “mettersi alla prova” in un’ottica “zero trust”, la sicurezza la si fa tutti i giorni senza dimenticare nessun anello della catena perché anche il più remoto può contribuire a rendere vulnerabili i nostri sistemi quindi la nostra azienda.