Grande panico nella comunità Linux. In effetti, una backdoor stava per essere aggiunta a molte delle distribuzioni Linux più popolari. Il peggio è stato evitato per un pelo, ma restano dubbi sull’autore di questa backdoor che ha operato segretamente per anni.
Venerdì scorso, un ingegnere del software Microsoft, Andres Freund, ha rilevato la presenza di una backdoor in XZ Utils, un toolkit software gratuito per comprimere e decomprimere file in formato XZ. Questo insieme di software è ampiamente utilizzato nei sistemi operativi Linux e Unix.
Un’intrusione evitata per un pelo
Andres Freund ha scoperto questa backdoor per caso dopo aver effettuato un benchmark di una distribuzione Debian. Durante i test, l’ingegnere ha stabilito che XZ Utils consumava molte risorse della CPU relative ai processi SSH, un protocollo di rete utilizzato per comunicare in modo sicuro (in genere, per l’accesso remoto ai server).
Dopo questa scoperta, gli editori Red Hat e Debian hanno pubblicato un avviso per avvisare il grande pubblico di questa minaccia (CVE-2024-3094). Fortunatamente abbiamo evitato il peggio: il componente dannoso di XZ Utils non era integrato nelle versioni stabili di Red Hat Linux e Debian.
La backdoor ha però trovato posto nelle distribuzioni Linux beta o sperimentali (Fedora Rawhide, Red Hat Fedora 40 beta, ecc.). Agli utenti interessati si consiglia vivamente di ripristinare le versioni precedenti del sistema operativo. La backdoor dà agli hacker pieni poteri per eseguire codice sul computer infetto.
Il consiglio è stato ribadito dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. Inutile dire che è molto serio.
L’integrazione della backdoor nella sua credibilità all’interno della comunità. È stato a febbraio che ha installato la famosa backdoor, nelle versioni 5.6.0 e 5.6.1 di XZ Utils. L’hacker ha quindi fatto pressioni su Ubuntu, Red Hat e Debian affinché integrassero la versione compromessa nelle loro distribuzioni.
Si sa molto poco di Jia Tan, che lavorò anche su altri importanti componenti Linux. In ogni caso, la comunità Linux era molto spaventata e questa storia avrebbe potuto spingerla a rafforzare la sicurezza attorno allo sviluppo del sistema operativo.
-
