O backdoor não está presente no código-fonte das ferramentas xz mas apenas nas tarballs (5.6.0 e 5.6.1) para dificultar a sua detecção. Curiosamente, a situação foi descoberta acidentalmente por uma pessoa que achou estranho que os logins via ssh tivessem passado a demorar mais do dobro do tempo (de 0.29s para 0.80s) e que decidiu explorar o que estaria a causar esse atraso.
Com este backdoor, um atacante poderia ter acesso remoto aos sistemas via ssh, afectando distros como o Fedora, SUSE, Red Hat, versões de teste do Debian e até o Kali Linux. E a situação só não é pior porque estas versões do xz são bastante recentes e ainda não chegaram a muitas das versões finais das distros Linux.
Este caso certamente ainda irá dar muito que falar, pois o backdoor parece ter sido deliberadamente adicionado por um developer que tem historial de anos de contribuições legítimas, mas com estas alterações maliciosas a terem sido feitas com padrões de horário diferentes do que era habitual - podendo indicar que a sua conta tenha sido comprometida.Plans to literally "hack the planet" foiled due to 500ms of latency that Andres instinctually investigated.
— HaxRob (@haxrob) March 30, 2024
The latency was due how the malicious code parsed symbol tables in memory.https://t.co/WNExkhVbTx pic.twitter.com/s79rFsE08e
Há muito que se fala dos riscos dos ataques "supply chain" em que se introduz uma vulnerabilidade num componente "banal" mas que é utilizado de forma generalizada por sistemas mais complexos, e este arrisca-se a ter entrada directa para o topo da tabela. Caso os atacantes tivessem tido o cuidado de não "gastar tempo", e o backdoor se mantivesse indetectado por mais umas semanas ou meses, a situação poderia ter sido verdadeiramente caótica. Ainda bem que há pessoas que ainda se preocupam com algo demorar mais meio segundo do que seria suposto.
E ainda bem que o código fonte é aberto, caso contrário, nem tão cedo seria possível analisar o miolo da coisa para chegar às devidas conclusões.
ResponderEliminar