Backdoor in xz Utils: 35 immagini Docker Hub ancora infette

Redazione RHC : 14 Agosto 2025 09:40

Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe potenzialmente mettere a rischio utenti, organizzazioni e i loro dati.

Binarly spiega che molte pipeline CI/CD, sviluppatori e sistemi di produzione estraggono le immagini direttamente da Docker Hub, utilizzandole come base per i propri container. Se queste immagini vengono compromesse, ogni nuova build erediterà la vulnerabilità o il codice dannoso.

Ricordiamo che una backdoor nel popolare pacchetto xz Utils fu scoperta accidentalmente nel 2024 e l’incidente ricevette molta attenzione. Di conseguenza, al problema fu assegnato l’identificatore CVE-2024-3094 e ottenne 10 punti su 10 possibili sulla scala CVSS.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Poiché xz Utils e la sua libreria liblzma sono molto popolari e inclusi nella maggior parte delle distribuzioni Linux (e sono utilizzati anche da molte applicazioni Linux e macOS), la scoperta del malware ha scatenato l’intera comunità open source.

Un’indagine condotta l’anno scorso ha rivelato che l’operazione backdoor era stata pianificata con cura ed era durata diversi anni; gli aggressori avevano pianificato l’attacco per molto tempo e si erano guadagnati la fiducia del responsabile della manutenzione di xz Utils, Lasse Collin (alias Larhzu).

La backdoor intercettava e reindirizzava le operazioni di decrittazione della chiave RSA SSH (la funzione RSA_public_decrypt ) a OpenSSH tramite il meccanismo IFUNC della libreria glibc. Di conseguenza, se un aggressore con una chiave privata speciale si connetteva tramite SSH a un sistema infetto, era in grado di bypassare l’autenticazione ed eseguire comandi da remoto con privilegi di root.

Poiché il malware è stato infine distribuito nei pacchetti ufficiali della distribuzione Linux (come Debian, Fedora, OpenSUSE e Red Hat), l’infezione xz Utils è stata una delle compromissioni più gravi dell’anno scorso.

Come riportato da Binarly questa settimana, i problemi alla supply chain causati dall’infezione xz Utils sono ancora in corso, con decine di immagini infette ancora presenti su Docker Hub.

“Abbiamo scoperto che alcune di queste immagini compromesse [da xz Utils] sono ancora pubblicamente disponibili su Docker Hub. Quel che è peggio è che altre immagini sono state create su queste immagini di base infette, dando origine a infezioni a cascata”, hanno affermato i ricercatori.

In totale, gli esperti hanno trovato 35 immagini di questo tipo ancora disponibili per il download. Allo stesso tempo, gli analisti sottolineano che questo numero riflette solo parzialmente la reale portata del problema, poiché non hanno effettuato una scansione completa della piattaforma.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli