{"id":22371,"date":"2024-04-08T15:36:17","date_gmt":"2024-04-08T18:36:17","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22371"},"modified":"2024-04-08T15:36:17","modified_gmt":"2024-04-08T18:36:17","slug":"cve-2024-3094-vulnerability-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/","title":{"rendered":"C\u00f3digo malicioso descoberto em distribui\u00e7\u00f5es Linux"},"content":{"rendered":"<p>Atores desconhecidos implantaram c\u00f3digo malicioso nas vers\u00f5es 5.6.0 e 5.6.1 das ferramentas de compress\u00e3o de c\u00f3digo aberto XZ Utils. Para piorar a situa\u00e7\u00e3o, utilit\u00e1rios com trojans conseguiram encontrar brechas em v\u00e1rias compila\u00e7\u00f5es populares do Linux lan\u00e7adas em mar\u00e7o, ent\u00e3o esse incidente poderia ser considerado um ataque \u00e0 cadeia de suprimentos. Esta vulnerabilidade foi intitulada como \u00a0<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2024-3094<\/a>.<\/p>\n<h2>O que torna essa amea\u00e7a t\u00e3o perigosa?<\/h2>\n<p>Inicialmente, diversos pesquisadores afirmaram que essa backdoor permitia que os atacantes burlassem a autentica\u00e7\u00e3o do <a href=\"https:\/\/www.ssh.com\/academy\/ssh\/sshd\" target=\"_blank\" rel=\"noopener nofollow\">sshd<\/a> (o processo do servidor OpenSSH) e ganhassem acesso n\u00e3o autorizado ao sistema operacional remotamente. No entanto, considerando as informa\u00e7\u00f5es <a href=\"https:\/\/bsky.app\/profile\/filippo.abyssdomain.expert\/post\/3kowjkx2njy2b\" target=\"_blank\" rel=\"noopener nofollow\">mais recentes<\/a>, essa vulnerabilidade n\u00e3o deveria ser classificada como uma \u201camea\u00e7a que burla a autentica\u00e7\u00e3o\u201d, mas sim como \u201cexecu\u00e7\u00e3o remota de c\u00f3digo\u201d (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">RCE<\/a>). A backdoor intercepta a fun\u00e7\u00e3o <a href=\"https:\/\/www.openssl.org\/docs\/manmaster\/man3\/RSA_public_decrypt.html\" target=\"_blank\" rel=\"noopener nofollow\">RSA_public_decrypt<\/a>, verifica a assinatura do host usando a chave fixa Ed448 e, se verificada com sucesso, executa o c\u00f3digo malicioso enviado pelo host por meio da fun\u00e7\u00e3o <em>system<\/em>(), n\u00e3o deixando rastros nos logs do sshd.<\/p>\n<h2>Quais distribui\u00e7\u00f5es Linux podem conter utilit\u00e1rios maliciosos e quais est\u00e3o seguras?<\/h2>\n<p>Sabe-se que as vers\u00f5es 5.6.0 e 5.6.1 do XZ Utils foram inclu\u00eddas nas compila\u00e7\u00f5es de mar\u00e7o das seguintes distribui\u00e7\u00f5es Linux:<\/p>\n<ul>\n<li>Kali Linux, mas, de acordo com o <a href=\"https:\/\/www.kali.org\/blog\/about-the-xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">blog oficial<\/a>, apenas aquelas dispon\u00edveis entre 26 e 29 de mar\u00e7o (o blog tamb\u00e9m cont\u00e9m instru\u00e7\u00f5es para verificar vers\u00f5es com componentes vulner\u00e1veis);<\/li>\n<li>openSUSE Tumbleweed e openSUSE MicroOS, <a href=\"https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">dispon\u00edveis de 7 a 28 de mar\u00e7o<\/a>;<\/li>\n<li>Fedora 41, Fedora Rawhide e Fedora Linux 40 beta;<\/li>\n<li>Debian (somente nas <a href=\"https:\/\/lists.debian.org\/debian-security-announce\/2024\/msg00057.html\" target=\"_blank\" rel=\"noopener nofollow\">distribui\u00e7\u00f5es <em>testing, unstable e experimental<\/em><\/a>);<\/li>\n<li>Arch Linux \u2013 imagens de cont\u00eainer dispon\u00edveis de 29 de fevereiro a 29 de mar\u00e7o. No entanto, o site <a href=\"http:\/\/archlinux.org\" target=\"_blank\" rel=\"noopener nofollow\">org<\/a> afirma que, devido \u00e0s peculiaridades de implementa\u00e7\u00e3o, este vetor de ataque n\u00e3o funcionar\u00e1 no Arch Linux, apesar de recomendarem fortemente a atualiza\u00e7\u00e3o do sistema.<\/li>\n<\/ul>\n<p>De acordo com informa\u00e7\u00f5es oficiais \u2013 divulgadas pelas pr\u00f3prias empresas \u2013 Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap e Debian Stable n\u00e3o s\u00e3o vulner\u00e1veis. Quanto a outras distribui\u00e7\u00f5es, \u00e9 aconselh\u00e1vel verificar manualmente a presen\u00e7a de vers\u00f5es com trojans do XZ Utils.<\/p>\n<h2>Como o c\u00f3digo malicioso foi implantado no XZ Utils?<\/h2>\n<p>Aparentemente, foi um <a href=\"https:\/\/orca.security\/resources\/blog\/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094\/\" target=\"_blank\" rel=\"noopener nofollow\">caso t\u00edpico<\/a> de cess\u00e3o de controle. A pessoa que inicialmente mantinha o projeto XZ Libs no GitHub transferiu o reposit\u00f3rio para umaconta que tem contribu\u00eddo para v\u00e1rios reposit\u00f3rios relacionados \u00e0 compress\u00e3o de dados h\u00e1 v\u00e1rios anos. E, em algum momento, algu\u00e9m por tr\u00e1s daquela outra conta implantou uma backdoor no c\u00f3digo do projeto.<\/p>\n<h2>A epidemia quase eminente que nunca ocorreu<\/h2>\n<p>Segundo Igor Kuznetsov, chefe de nossa Equipe Global de Pesquisa e An\u00e1lise (GReAT \u2013 sigla em ingl\u00eas de Global Research and Analysis Team), a explora\u00e7\u00e3o da CVE-2024-3094 poderia potencialmente ter se tornado o maior ataque em escala ao ecossistema Linux em toda a sua hist\u00f3ria. Isso porque foi principalmente direcionado aos servidores SSH \u2013 a principal ferramenta de gerenciamento remoto de todos os servidores Linux na internet. Se tivesse acabado em distribui\u00e7\u00f5es est\u00e1veis, provavelmente ter\u00edamos visto um grande n\u00famero de invas\u00f5es de servidores. No entanto, a boa not\u00edcia \u00e9 que a CVE-2024-3094 foi notada nas distribui\u00e7\u00f5es de teste e em constante atualiza\u00e7\u00e3o \u2013 nas quais s\u00e3o usados os pacotes de software mais recentes. Ou seja, a maioria dos usu\u00e1rios do Linux permaneceu segura. At\u00e9 o momento, n\u00e3o detectamos nenhum caso de explora\u00e7\u00e3o real da CVE-2024-3094.<\/p>\n<h2>Como se manter seguro?<\/h2>\n<p>A Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e Infraestrutura dos EUA (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/03\/29\/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094\" target=\"_blank\" rel=\"noopener nofollow\">recomenda<\/a> que qualquer pessoa que tenha instalado ou atualizado sistemas operacionais afetados em mar\u00e7o fa\u00e7a o downgrade do XZ Utils para uma vers\u00e3o anterior (por exemplo, a vers\u00e3o 5.4.6) imediatamente. E comece a rastrear atividades maliciosas.<\/p>\n<p>Se voc\u00ea instalou uma distribui\u00e7\u00e3o com uma vers\u00e3o vulner\u00e1vel do XZ Utils, tamb\u00e9m faz sentido alterar todas as credenciais que possam ser potencialmente roubadas do sistema pelos respons\u00e1veis pela amea\u00e7a.<\/p>\n<p>Voc\u00ea pode detectar a presen\u00e7a de uma vulnerabilidade usando a <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/bkdr_xz_util_cve_2024_3094.yar\" target=\"_blank\" rel=\"noopener nofollow\">regra Yara para CVE-2024-3094.<\/a><\/p>\n<p>Se voc\u00ea suspeita que um ator de amea\u00e7as possa ter acessado a infraestrutura da sua empresa, recomendamos usar o servi\u00e7o [Compromise assessment placeholder] Kaspersky Compromise Assessment [\/placeholder] para descobrir quaisquer ataques passados ou em andamento.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"22363\">\n","protected":false},"excerpt":{"rendered":"<p>Uma backdoor implantada no XZ Utils encontrou seu caminho em distribui\u00e7\u00f5es Linux populares.<\/p>\n","protected":false},"author":2698,"featured_media":22372,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3272,3158,1321,350,240],"class_list":{"0":"post-22371","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataque-de-supply-chain","11":"tag-ataque-na-cadeia-de-suprimentos","12":"tag-backdoors","13":"tag-linux","14":"tag-vulnerabilidade"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2024-3094-vulnerability-backdoor\/27244\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/22549\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/29918\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2024-3094-vulnerability-backdoor\/27416\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/27136\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2024-3094-vulnerability-backdoor\/37222\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/50873\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2024-3094-vulnerability-backdoor\/27597\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2024-3094-vulnerability-backdoor\/33423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2024-3094-vulnerability-backdoor\/33050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/linux\/","name":"Linux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22371"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22371\/revisions"}],"predecessor-version":[{"id":22375,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22371\/revisions\/22375"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22372"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}