{"id":28632,"date":"2024-04-05T20:36:00","date_gmt":"2024-04-05T18:36:00","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28632"},"modified":"2024-04-05T20:36:00","modified_gmt":"2024-04-05T18:36:00","slug":"cve-2024-3094-vulnerability-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/","title":{"rendered":"Scoperto codice dannoso nelle distribuzioni Linux"},"content":{"rendered":"<p>Alcuni cybercriminali sconosciuti hanno impiantato codice dannoso nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un insieme di strumenti software open source progettati per la compressione dei file. A peggiorare le cose, le utility troianizzate sono riuscite a insinuarsi in diverse build popolari di Linux rilasciate a marzo, per cui questo incidente potrebbe essere considerato un attacco alla supply-chain. Questa vulnerabilit\u00e0 \u00e8 stata denominata <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2024-3094<\/a>.<\/p>\n<h2>Cosa rende questo impianto dannoso cos\u00ec pericoloso?<\/h2>\n<p>Inizialmente, diversi ricercatori hanno affermato che questa backdoor consentiva agli hacker di bypassare l\u2019autenticazione <a href=\"https:\/\/www.ssh.com\/academy\/ssh\/sshd\" target=\"_blank\" rel=\"noopener nofollow\">sshd<\/a> (il processo del server OpenSSH) e di ottenere da remoto un accesso non autorizzato al sistema operativo. Tuttavia, a giudicare dalle <a href=\"https:\/\/bsky.app\/profile\/filippo.abyssdomain.expert\/post\/3kowjkx2njy2b\" target=\"_blank\" rel=\"noopener nofollow\">ultime informazioni<\/a>, questa vulnerabilit\u00e0 non dovrebbe essere classificata come \u201cbypass dell\u2019autenticazione\u201d, ma come \u201cesecuzione di codice remoto\u201d (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">RCE<\/a>). La backdoor intercetta la funzione <a href=\"https:\/\/www.openssl.org\/docs\/manmaster\/man3\/RSA_public_decrypt.html\" target=\"_blank\" rel=\"noopener nofollow\">RSA_public_decrypt<\/a>, verifica la firma dell\u2019host utilizzando la chiave fissa Ed448 e, se la verifica ha esito positivo, esegue il codice dannoso passato dall\u2019host tramite la funzione system(), senza lasciare tracce nei log di sshd.<\/p>\n<h2>Quali distribuzioni Linux contengono utility dannose e quali sono sicure?<\/h2>\n<p>Si sa che le versioni 5.6.0 e 5.6.1 di XZ Utils sono state incluse nelle build di marzo delle seguenti distribuzioni Linux:<\/p>\n<ul>\n<li>Kali Linux, ma, secondo il <a href=\"https:\/\/www.kali.org\/blog\/about-the-xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">blog ufficiale<\/a>, solo quelli disponibili tra il 26 e il 29 marzo (il blog include anche le istruzioni per verificare la presenza di versioni vulnerabili delle utility);<\/li>\n<li>openSUSE Tumbleweed e openSUSE MicroOS, <a href=\"https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">disponibili dal 7 al 28 marzo<\/a>;<\/li>\n<li>Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;<\/li>\n<li>Debian (<a href=\"https:\/\/lists.debian.org\/debian-security-announce\/2024\/msg00057.html\" target=\"_blank\" rel=\"noopener nofollow\">distribuzioni di testing instabili e sperimentali<\/a>);<\/li>\n<li>Arch Linux, immagini container disponibili dal 29 febbraio al 29 marzo. Il sito <a href=\"https:\/\/archlinux.org\/news\/the-xz-package-has-been-backdoored\/\" target=\"_blank\" rel=\"noopener nofollow\">org<\/a> afferma per\u00f2 che, a causa delle specificit\u00e0 legate all\u2019implementazione, questo vettore di attacco non funzioner\u00e0 in Arch Linux, ma raccomanda comunque vivamente di aggiornare il sistema.<\/li>\n<\/ul>\n<p>Secondo le informazioni ufficiali, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable non sono vulnerabili. Per quanto riguarda le altre distribuzioni, si consiglia di verificare manualmente la presenza di versioni troianizzate di XZ Utils.<\/p>\n<h2>Come \u00e8 stato possibile impiantare il codice dannoso in XZ Utils?<\/h2>\n<p>A quanto pare, si tratta di un <a href=\"https:\/\/orca.security\/resources\/blog\/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094\/\" target=\"_blank\" rel=\"noopener nofollow\">caso atipico<\/a> di trasferimento del controllo. La persona che inizialmente ha mantenuto il progetto XZ Libs su GitHub ha passato il controllo del repository a un account che ha contribuito a una serie di repository relative alla compressione dei dati per diversi anni. E a un certo punto, qualcuno che si nascondeva dietro a quest\u2019altro account ha impiantato una backdoor nel codice del progetto.<\/p>\n<p>L\u2019epidemia sfiorata che non si \u00e8 mai verificata<\/p>\n<p>Secondo Igor Kuznetsov, responsabile del nostro Global Research and Analysis Team (GReAT), lo sfruttamento di CVE-2024-3094 avrebbe potuto potenzialmente diventare il pi\u00f9 grande attacco su larga scala all\u2019ecosistema Linux in tutta la sua storia. Questo perch\u00e9 era rivolto principalmente ai server SSH, il principale strumento di gestione remota di tutti i server Linux su Internet. Se fosse finito nelle distribuzioni stabili, probabilmente avremmo assistito a un gran numero di attacchi ai server. Tuttavia, fortunatamente, la CVE-2024-3094 \u00e8 stata rilevata nelle distribuzioni di testing e rolling, in cui vengono utilizzati i pacchetti software pi\u00f9 recenti. In altre parole, la maggior parte degli utenti Linux \u00e8\u00a0 al sicuro. Finora non abbiamo rilevato nessun caso di sfruttamento di CVE-2024-3094.<\/p>\n<h2>Come proteggersi?<\/h2>\n<p>La <em>U.S. Cybersecurity and Infrastructure Security Agency<\/em> (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/03\/29\/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">raccomanda<\/a> a tutti coloro che hanno installato o aggiornato i sistemi operativi colpiti nel mese di marzo di eseguire immediatamente il downgrade di XZ Utils a una versione precedente (ad esempio, la versione 5.4.6). E di avviare anche una scansione alla ricerca di attivit\u00e0 dannose.<\/p>\n<p>Se avete installato una distribuzione con una versione vulnerabile di XZ Utils, \u00e8 opportuno inoltre cambiare tutte le credenziali che potrebbero venire sottratte al sistema da parte degli autori delle minacce.<\/p>\n<p>\u00c8 possibile individuare la presenza di una vulnerabilit\u00e0 utilizzando la <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/bkdr_xz_util_cve_2024_3094.yar\" target=\"_blank\" rel=\"noopener nofollow\">regola Yara per CVE-2024-3094<\/a>.<\/p>\n<p>Se si sospetta che un cybercriminale possa aver avuto accesso all\u2019infrastruttura aziendale, si consiglia di utilizzare il servizio <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/compromise-assessment?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Compromise Assessment<\/a> per scoprire eventuali attacchi passati o in corso.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"28636\">\n","protected":false},"excerpt":{"rendered":"<p>Una backdoor impiantata in XZ Utils \u00e8 riuscita a insinuarsi in alcune distribuzioni Linux molto popolari.<\/p>\n","protected":false},"author":2698,"featured_media":28639,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[3723,775,961,584],"class_list":{"0":"post-28632","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-attacco-alla-supply-chain","10":"tag-backdoor","11":"tag-linux","12":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2024-3094-vulnerability-backdoor\/27244\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/22549\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/29918\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2024-3094-vulnerability-backdoor\/27416\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/27136\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2024-3094-vulnerability-backdoor\/37222\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/50873\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2024-3094-vulnerability-backdoor\/27597\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2024-3094-vulnerability-backdoor\/33423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2024-3094-vulnerability-backdoor\/33050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/linux\/","name":"Linux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=28632"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28632\/revisions"}],"predecessor-version":[{"id":28641,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28632\/revisions\/28641"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/28639"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=28632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=28632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=28632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}