Una backdoor nelle versioni 5.6.0 e 5.6.1 di XZ Utils, un tool di compressione presente in quasi tutte le distribuzioni Linux, sarebbe potuta essere disastrosa per la sicurezza se non fosse stata scoperta da Andres Freund, ingegnere software di Microsoft e uno degli sviluppatori di PostgreSQL. “Questo potrebbe essere l’attacco alla supply chain meglio eseguito che abbiamo visto ed è uno scenario da incubo”, ha scritto il ricercatore di sicurezza Filippo Valsorda. Questa vulnerabilità (CVE-2024-3094) è stata valutata con il massimo punteggio di gravità, indicando quindi un rischio estremamente alto.

Per fortuna la backdoor è stata individuata presto e il codice maligno è entrato solo in alcune distribuzioni Linux non stabili, come l’imminente Fedora Linux 40, la distribuzione per sviluppatori Fedora Rawhide, Debian Unstable e Kali Linux (nel frattempo il repository su GitHub è stato disattivato). Poteva andare molto peggio, visto che secondo Valsorda il codice backdoor permette di eseguire codice da remoto su un server SSH senza averne l’autenticazione.

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso urgente invitando gli utenti a effettuare il downgrade di XZ Utils a una versione non compromessa come la 5.4.6.“Questa backdoor ha rischiato di diventare uno dei più importanti strumenti di intrusione di sempre, tanto da superare la backdoor di SolarWinds. Gli aggressori sono stati quasi in grado di ottenere l’accesso immediato a qualsiasi macchina Linux con una distro infetta, che include Fedora, Ubuntu e Debian”, si legge in un report di Akamai.

Inutile dire che un episodio così grave ha evidenziato per l’ennesima volta l’importanza di una rigorosa gestione della catena di approvvigionamento del software e della sicurezza dei progetti open source.