Em março de 2024, a descoberta de um backdoor no XZ Utils deixou a comunidade Linux em alerta máximo. Um desenvolvedor sob o pseudônimo de “Jia Tan” passou dois anos ganhando confiança antes de inserir código malicioso em bibliotecas de compressão amplamente utilizadas. Agora, mais de um ano depois, pesquisadores de segurança encontraram vestígios desse incidente em um lugar inesperado: as imagens oficiais do Debian no Docker Hub.
O que aconteceu?
O backdoor no XZ Utils tinha como alvo servidores SSH, interceptando funções criptográficas do OpenSSH por meio da biblioteca liblzma.so. O alcance foi tão grande que distribuições Linux populares, como Debian, Fedora e OpenSUSE, acabaram distribuindo pacotes comprometidos para seus usuários.
Embora o problema tenha sido rapidamente identificado e corrigido, novos estudos revelam que 12 imagens oficiais do Debian no Docker Hub ainda contêm o backdoor. Esses contêineres comprometidos foram criados em 11 de março de 2024, durante o período em que o código malicioso estava ativo, e incluem versões como unstable, testing e trixie.
Pior ainda: 35 outras imagens foram construídas com base nessas versões infectadas, ampliando o risco. E, como a análise se limitou ao Debian, é possível que outras distribuições também ainda tenham imagens vulneráveis.
Uma discussão sobre riscos
Quando a Binarly alertou os mantenedores do Debian sobre as imagens comprometidas, a resposta foi… “não vamos remover”. A justificativa? Essas imagens são muito antigas, destinadas apenas a manter um histórico e a ambientes de desenvolvimento, ou seja, não deveriam ser usadas em produção.
Tianon Gravi, da equipe de desenvolvimento do Debian, argumentou que os vetores de ataque são extremamente limitados:
- As imagens são de versões instáveis (unstable, testing);
- Seria necessário rodar systemd dentro do container, algo incomum;
- Um servidor SSH precisaria estar ativo no container, o que é improvável.
Ou seja, segundo o Debian, o risco é mínimo. Mas a Binarly ainda acredita que manter imagens com o backdoor disponíveis é perigoso, mesmo que apenas como “curiosidade histórica”.
A lição aqui é clara: ataques à cadeia de suprimentos (supply chain) podem deixar rastros duradouros, especialmente em ecossistemas de containers. Enquanto o Debian prefere deixar as imagens como registro histórico, usuários devem sempre verificar a origem de suas bases de containers e priorizar versões atualizadas.
E, se alguém ainda estiver usando uma imagem de março de 2024 em produção, bem, talvez seja hora de repensar.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: assine nossa newsletter!
