Red Hat ha lanciato un avvertimento riguardo a un backdoor malevolo scoperto nella libreria software di compressione dati xz, ampiamente utilizzata, che potrebbe essere presente nelle istanze di Fedora Linux 40 e nella distribuzione per sviluppatori Fedora Rawhide.
Questo codice dannoso sembra consentire l'accesso remoto tramite OpenSSH e systemd, e si trova nelle versioni xz 5.6.0 e 5.6.1. La gravità della vulnerabilità è stata classificata con il massimo punteggio secondo CVSS e designata come CVE-2024-3094.
Gli utenti di Fedora Linux 40 potrebbero aver ricevuto la versione 5.6.0, mentre gli utenti di Fedora Rawhide potrebbero aver ricevuto la versione 5.6.1. Red Hat ha sottolineato che Fedora 40 e 41 non sono ancora state ufficialmente rilasciate, ma sono in programma per il prossimo mese.
Gli utenti di altre distribuzioni Linux e OS sono stati invitati a verificare la versione di xz installata, poiché le versioni infette, rilasciate il 24 febbraio e il 9 marzo, potrebbero non essere state ancora ampiamente adottate.
Questo compromesso della catena di approvvigionamento potrebbe essere stato individuato abbastanza tempestivamente per prevenire una diffusione massiccia e colpire principalmente le distribuzioni all'avanguardia che hanno adottato rapidamente le ultime versioni di xz.
Debian Unstable e Kali Linux hanno segnalato di essere state colpite, esortando tutti gli utenti a individuare e rimuovere eventuali versioni compromesse di xz.
Red Hat ha esortato gli utenti a cessare immediatamente l'utilizzo di qualsiasi istanza di Fedora Rawhide e ha promesso di ripristinare la versione precedente di xz in breve tempo. Inoltre, ha assicurato che Red Hat Enterprise Linux (RHEL) non è affetto dal problema.
La natura malevola del codice xz è stata descritta da Red Hat come oscurata e presente solo nel file tarball del codice sorgente. Il malware sembra mirare a modificare il funzionamento dei daemon del server OpenSSH che utilizzano la libreria xz tramite systemd, potenzialmente consentendo a un attaccante di violare l'autenticazione e ottenere accesso non autorizzato al sistema.
L'account associato ai commit contenenti il codice dannoso ha portato a speculazioni che l'autore possa essere un hacker forse affiliato a un'agenzia statale.
L'agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha emesso un avviso sulla questione, mettendo in guardia gli utenti sui rischi associati.