A Red Hat emitiu um aviso de segurança crítico sobre código malicioso descoberto em versões recentes das ferramentas e bibliotecas de compressão "xz". Rastreado como CVE-2024-3094, este comprometimento sofisticado da cadeia de suprimentos pode permitir que atores maliciosos contornem a autenticação e obtenham acesso remoto não autorizado aos sistemas Linux afetados.
A utilidade xz e o risco
A utilidade xz é um formato de compressão de dados fundamental presente em quase todas as distribuições Linux comerciais e comunitárias. É usado principalmente para comprimir arquivos grandes em tamanhos menores para transferência eficiente. Pesquisadores de segurança descobriram que código malicioso foi injetado silenciosamente nas versões 5.6.0 e 5.6.1 da utilidade xz.
Técnicas de ofuscação avançada
Os atacantes utilizaram técnicas de ofuscação sofisticadas para esconder seus rastros. O código malicioso não é visível claramente no repositório Git principal. Em vez disso, é acionado por um macro M4 ofuscado que é incluído apenas no pacote de download completo da distribuição. Durante o processo de compilação do software, este macro oculto compila artefatos de segunda etapa que alteram a funcionalidade da biblioteca.
Interferência com autenticação SSH
Uma vez instalado em um sistema, a compilação comprometida interfere diretamente nos processos de autenticação no sshd via systemd. O Secure Shell (SSH) é o protocolo padrão para gerenciamento remoto de sistemas, e essa interferência permite que atores maliciosos quebrem as verificações de autenticação, ganhando finalmente acesso remoto não autorizado à máquina.
Distribuições Linux afetadas
A Red Hat confirmou que nenhuma versão do Red Hat Enterprise Linux (RHEL) é afetada por esta vulnerabilidade. Dentro do ecossistema Red Hat, os pacotes comprometidos estão isolados ao Fedora Rawhide e ao Fedora Linux 40 beta. Usuários do Fedora Rawhide podem ter instalado as versões 5.6.0 ou 5.6.1. Além da Red Hat, outras distribuições comunitárias também estão lidando com essa ameaça, incluindo Debian unstable (Sid) e várias distribuições openSUSE.
Ação imediata recomendada
A Red Hat aconselha fortemente os usuários a pararem completamente o uso de instâncias do Fedora Rawhide para atividades de trabalho e pessoais até que o sistema seja totalmente revertido para a versão segura xz-5.4.x. Para usuários do Fedora Linux 40 beta, uma atualização de emergência foi publicada para forçar um downgrade para a compilação 5.4.x. Usuários de openSUSE e Debian devem consultar seus mantenedores de distribuição específicos para procedimentos de downgrade imediato.
Implicações para a segurança de infraestrutura
Equipes de segurança devem auditar ativamente sua infraestrutura para versões xz 5.6.0 e 5.6.1 e substituí-las sem demora para evitar possíveis violações de rede. O comprometimento da biblioteca xz é particularmente preocupante devido à sua ubiquidade em sistemas Linux, o que significa que qualquer sistema baseado em Linux pode estar vulnerável se não for atualizado.
Medidas de mitigação para administradores
Além do downgrade, os administradores devem verificar logs de sistema em busca de atividades suspeitas relacionadas ao sshd e systemd. A implementação de monitoramento de integridade de arquivos (FIM) pode ajudar a detectar alterações não autorizadas nas bibliotecas do sistema. A revisão de políticas de atualização de pacotes é essencial para garantir que correções críticas sejam aplicadas rapidamente.
O que os CISOs devem fazer agora
Garantir que todos os servidores Linux em produção estejam rodando versões seguras da biblioteca xz. Priorizar a atualização de sistemas Fedora e Debian que possam estar expostos. Considerar a segmentação de rede para limitar o impacto potencial de um comprometimento de autenticação SSH. Manter-se atualizado com os avisos da Red Hat e da comunidade de segurança Linux.
Perguntas frequentes
O RHEL está afetado? Não, a Red Hat confirmou que nenhuma versão do RHEL é afetada.
Qual é a versão segura? A versão xz-5.4.x é considerada segura e deve ser usada como referência para downgrade.
Como o código malicioso é ativado? Por um macro M4 ofuscado durante o processo de compilação da distribuição.