Meses após ter abalado o mundo do software open-source, o perigoso backdoor XZ-Utils continua presente em dezenas de imagens Linux disponíveis no Docker Hub, o repositório oficial de imagens de contentores. A descoberta, feita por especialistas em segurança, levanta sérias preocupações sobre a persistência de vulnerabilidades críticas na cadeia de abastecimento de software.
Uma ameaça que se recusa a desaparecer
Em março de 2024, a comunidade tecnológica foi apanhada de surpresa pela descoberta do backdoor XZ-Utils, registado como CVE-2024-3094. Este código malicioso, escondido nas versões 5.6.0 e 5.6.1 da popular ferramenta de compressão, permitia que um atacante com uma chave específica contornasse a autenticação em ligações SSH e executasse comandos remotamente com privilégios de administrador.
A falha foi considerada um dos mais graves ataques à cadeia de abastecimento de software dos últimos anos, uma vez que foi introduzida por um contribuidor de longa data do projeto e distribuída em pacotes oficiais de várias distribuições Linux, como Debian, Fedora e Red Hat. Embora tenha sido descoberto a tempo de evitar uma exploração em massa, o seu legado parece ser mais persistente do que o desejado.
O alerta da Binarly e a controversa decisão da Debian
A investigação que trouxe o problema de volta à superfície foi conduzida por peritos da empresa de cibersegurança Binarly. Os seus especialistas identificaram pelo menos 35 imagens no Docker Hub que ainda contêm a versão vulnerável da biblioteca. O perigo é agravado pelo facto de muitas outras imagens poderem ter sido construídas com base nestas versões infetadas, propagando a falha de forma transitiva.
Surpreendentemente, quando a Binarly notificou a Debian, um dos responsáveis por algumas das imagens vulneráveis, a resposta foi a de não as remover. A equipa da Debian justificou a decisão afirmando que o risco de exploração é baixo, uma vez que exigiria um conjunto muito específico de condições (como ter o serviço SSH a correr no contentor e acesso de rede por parte do atacante). Consideram estas imagens como "artefactos históricos", defendendo a importância da continuidade do arquivo.
A Binarly, no entanto, discorda veementemente desta abordagem. A empresa argumenta que a mera disponibilidade pública destas imagens representa um risco significativo, especialmente em ambientes de desenvolvimento que utilizam pipelines automatizados para puxar imagens, podendo levar à sua utilização acidental.
Para os utilizadores e administradores de sistemas, a recomendação é clara: verificar manualmente todas as imagens utilizadas e garantir que a biblioteca XZ-Utils está atualizada para a versão 5.6.2 ou superior, de forma a mitigar qualquer risco potencial.
Nenhum comentário
Seja o primeiro!