Foi publicado há alguns dias uma vulnerabilidade de grau 10 no NIST de código CVE-2024-3094.
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
De acordo com a notícia, foi identificado um código malicioso de backdoor no XZ Utils, assim como na biblioteca liblzma usada por muitas distribuições Linux.
No dia 29/03/2024, Andres Freund, um desenvolvedor PostgreSQL na Microsoft, postou em uma lista de discussão que descobriu o código e que o mesmo aparentemente afeta apenas as versões 5.6.0 e 5.6.1. Ainda de acordo com o mesmo, o código malicioso não se encontrava na estrutura do Git, mas sim nos links de código fonte comprimidos que estavam disponíveis para download.
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://github.com/tukaani-project/xz/releases/tag/v5.6.1
Neste momento, dia 30/03/2024 às 10:27 (GMT-3) o repositório encontra-se fechado. Não se sabe a causa exata, mas levando em conta que toda e qualquer atividade realizada pelos desenvolvedores é registrada em logs, será possível determinar no futuro quem efetuou a criação dos arquivos, assim como identificar se foi proposital a alteração ou se o computador do desenvolvedor foi comprometido.
O importante deste relato é que esta biblioteca permite a execução de um ataque em cadeia, ou seja, não necessariamente afeta apenas a aplicação especificada, mas outras que por ventura dependam dela para executar outras funções. Uma delas é o serviço de SSH, usado por muitos administradores de rede para acesso remoto.
Convém a todos que seja realizada uma inspeção em seu ambiente e identificado se as versões 5.6.0 ou 5.6.1 do XZ Utils e da biblioteca liblzma encontram-se atualizadas, de forma a garantir que o acesso de seus servidores não sejam comprometidos.
Este artigo fala em detalhes sobre as principais distribuições do mercado e possíveis tratativas:
https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils