logo naturale cybe cybersicurezza modena

Libreria XZ, nuove vulnerabilità?

Nel 2021 il mondo dell’IT è stato scosso dalla vulnerabilità LOG4J.
I recenti eventi legati alla libreria XZ stanno facendo parlare di sè allo stesso modo!

Intanto che cos’è XZ?
XZ è una libreria open source largamente utilizzata per comprimere i dati. Nella sua ultima versione, lo sviluppatore ha volutamente inserito del codice malevolo nella libreria lzma, che permette l’esecuzione di codice da remoto su un server che ha l’interfaccia ssh esposta, SENZA autenticazione.

Piccolo background tecnico (che non sarà noioso ve lo prometto). XZ è talmente efficiente a tal punto che viene utilizzata da molti altri software che necessitano di comprimere dati. Tra gli utilizzatori c’è anche OpenSSH, che serve per gestire le connessioni sicure tra client e server a livello di shell (linea di comando per i profani).

La vulnerabilità quindi permetterebbe ad un malintenzionato di connettersi ad un server, senza credenziali ed eseguire codice da remoto, e qua vi lascio immaginare la portata dei danni che si potrebbero fare.

Fortunatamente la vulnerabilità è stata identificata molto rapidamente (3 settimane circa di operatività), ma ciò che fa parlare della vicenda è la storia di come sia avvenuta questa compromissione.

Questa vulnerabilità non si origina da una svista di uno sviluppatore, ma bensì di un’azione deliberata, a tal punto che lo sviluppatore avrebbe fatto pressioni perchè venisse approvata la pubblicazione della libreria compromessa, e l’adozione di essa da parte delle versioni beta di Debian e Redhat.

Andando a ricostruire i fatti quello che emerge è un’azione degna dei migliori film di spionaggio… Uno sviluppatore che si fa chiamare Jia Tan avrebbe nel tempo (si parla di un periodo di 2 anni), ottenuto la fiducia dei mantenitori del progetto, e grazie a uno sforzo costante è riuscito a farsi eleggere come manutentore upstream per il progetto XZ Utils. Inoltre sembrerebbe che Jia Tan abbia utilizzato degli account fasulli per inviare una miriade di richieste di implementazione e di lamentele per dei bug, per fare pressione sui responsabili originali del progetto, portandoli a dover ingaggiare un’altro manutentore (in questo caso lo stesso Jia Tan).

Dopo 2 lunghi anni di contributi Jia Tan ha ottenuto nel 2023 i diritti di release e ha inserito i cambiamenti che darebbero origine alla backdoor.

Tali tipologie di azioni, così strutturate e dilazionate nel tempo, sono solitamente sinonimo di gruppi APT, quindi probabilmente entità governative con risorse pressocchè illimitate.

Per controllare se le vostre macchine sono affette basterà verificare la versione di XZ tramite il comando: xz –Version . Le versioni “incriminate” sono la 5.6.0 e la 5.6.1

Per risolvere basterà effettuare il downgrade alle 5.4.6 (stable) e per farlo basterà fare l’aggiornamento dei pacchetti (in quanto la versione vulnerabile è stata rimossa da tutti i repo, github compreso).

Controllate subito, non aspettate il patch day, si tratta di una falla gravissima! Stay Safe!

Altri Articoli

Sei sotto attacco?
Possiamo aiutarti, adesso.