Em 29 de março, a Red Hat noticiou que versões da biblioteca XZ Utils receberam código malicioso, comprometendo distros Linux, inclusive algumas versões do Fedora, permitindo o acesso remoto a dados sensíveis dos usuários. Especialistas do governo norte-americano classificaram a vulnerabilidade com o nível CVSS 10, o mais alto.
Segundo a publicação da Red Hat, as versões 5.6.0 e 5.6.1 da biblioteca XZ Utils contém código malicioso. Ele interfere na autenticação SSHD via SystemD, permitindo acesso não autorizado utilizando o protocolo SSH, de modo que agentes consigam acesso a todo o sistema remotamente.
A biblioteca XZ Utils é mantida pela comunidade, recebendo contribuições voluntárias. Ela serve para comprimir e descomprimir dados, facilitando a transferência de arquivos por redes.
Quais distros Linux foram afetadas pelo código malicioso no XZ Utils?
Tipicamente, a maioria das distros não buscam manter as versões mais recentes da biblioteca XZ Utils. As versões 5.6.0 e 5.6.1 da biblioteca XZ Utils foram lançadas em 24 de fevereiro e 9 de março, respectivamente. Apenas algumas distros bleeding edge receberam a atualização problemática, dentre elas:
- Fedora 40, ainda em beta, Fedora 41 e Fedora Rawhide;
- Debian testing, unstable (Sid) e experimental;
- Kali Linux atualizado entre 26 e 29 de março;
- openSUSE Tumbleweed e openSUSE MicroOS atualizado entre 7 e 28 de março.
Evidências indicam que distribuições populares em servidores, como Red Hat Enterprise Linux (RHEL), Debian 12, Amazon Linux, SUSE Linux Enterprise e Leap, não foram afetadas.
De onde veio o código malicioso?
A descoberta do código malicioso na biblioteca XZ Utils foi creditada ao pesquisador de segurança da Microsoft, Andres Freund, que encontrou e relatou na última sexta-feira. O código malicioso estava bem escondido, tendo sido introduzido por uma série de commits vindos do Tukaani Project no GitHub, por um usuário chamado JiaT75. Não há relatos de que a vulnerabilidade tenha sido explorada.
Segundo Freund, “Dada à atividade nas últimas semanas, se o commiter não estava diretamente envolvido, seu sistema estava severamente comprometido. Infelizmente a última hipótese parece a menos provável, devido à comunicação nas últimas semanas sobre as ‘correções’.”
Com isso, o GitHub desativou o repositório do XZ Utils mantida pelo Tukaani Project, devido à violação dos termos do serviço. Na página do Tukaani Project, eles relatam que as contas dos mantenedores do projeto foram suspensas do GitHub e que continuam apurando o ocorrido, devendo dar uma resposta mais completa na primeira semana de abril.
Fique por dentro das principais notícias da semana sobre Linux e tecnologia, assine nossa newsletter!