Il giorno 29 marzo, un ricercatore Microsoft, Andres Freus, ha scoperto fortuitamente una backdoor in un pacchetto presente in tutte le distribuzioni Linux, XZ utils.
La backdoor consente di alterare il funzionamento del demone SSH, consentendo l’autenticazione ssh senza disporre delle credenziali di autenticazione, ivi compresa l’autenticazione con chiavi crittografiche.
Fortunatamente il codice malevolo è presente nelle versioni unstable (sviluppo e beta) 5.6.0 and 5.6.1 e non nel codice stabile del componente; occorre comunque verificare urgentemente; è anche stato creato – in tempi record – un sito web per effettuare scansioni del componente XZ utils.
La notizia più completa è presente nel portale DarkReading; si tratta di un sofisticato (e studiato da tempo) supply chain attack, che getta ulteriori ombre sulla sicurezza delle procedure di sviluppo del software Open Source.
Evidenziamo ancora una volta come sia essenziale limitare l’accesso al demone SSH in ascolto sulla porta TCP/22 tramite apposite regole nel firewall, autorizzando solo gli indirizzi IP usati per i task amministrativi al server Linux.