Vulnerabilidade grave descoberta em pacote importante dos sistemas Linux
A Red Hat encontra-se a alertar para uma grave vulnerabilidade que se encontra a afetar algumas versões de desenvolvimento do Fedora, onde um backdoor foi encontrado no pacote XZ, bastante usado para a compressão de dados no sistema.
O alerta surge depois de ter sido descoberto que conteúdo malicioso estaria a ser colocado num pacote importante e base do sistema, que poderia permitir a terceiros obterem acesso a qualquer sistema Linux através de um backdoor.
A mensagem de alerta indica que os utilizadores devem, imediatamente, deixar de usar qualquer versão recente do Fedora 41 ou variantes, o que inclui o Debian unstable ou outras distribuições derivadas.
Embora esta vulnerabilidade e tentativa de ataque tenha sido identificada na sua fase inicial, poderia ter causado graves problemas se tivesse passado despercebida e chegasse ao formato de lançamento oficial para todos.
O engenheiro Andres Freund, da Microsoft, revelou ter descoberto inicialmente a falha quando estaria a analisar o motivo para ligações SSH estarem consideravelmente lentas num dos seus sistemas Linux com o Debian Sid, uma versão ainda em desenvolvimento ativo do sistema Debian.
Segundo o mesmo, código malicioso foi integrado nas versões 5.6.0 e 5.6.1 do XZ, uma ferramenta básica do sistema, usada para a compressão de dados. Esta continha código que permitia o acesso remoto ao SSH de qualquer sistema onde estas versões se encontrassem. Isto poderia permitir a qualquer utilizador remotamente aceder ao sistema SSH da máquina, e eventualmente, ter o controlo da mesma e dos dados nela existentes.
Acredita-se que o código malicioso terá sido colocado no código do pacote principal, ofuscado, por um ativo participante da comunidade de desenvolvimento do mesmo, embora as motivações para tal ainda sejam desconhecidas.
A falha foi classificada com o código CVE-2024-3094 e com uma gravidade de 10/10, a mais elevada da escala. Todos os utilizadores são aconselhados a verificarem se possuem instalado nos seus sistemas Linux uma versão anterior à 5.6.0 e 5.6.1.
Para tal, via a linha de comandos do sistema, deve-se correr o comando “xz -V”, o que deve apresentar a versão instalada.