Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe potenzialmente mettere a rischio utenti, organizzazioni e i loro dati.
Binarly spiega che molte pipeline CI/CD, sviluppatori e sistemi di produzione estraggono le immagini direttamente da Docker Hub, utilizzandole come base per i propri container. Se queste immagini vengono compromesse, ogni nuova build erediterà la vulnerabilità o il codice dannoso.
Ricordiamo che una backdoor nel popolare pacchetto xz Utils fu scoperta accidentalmente nel 2024 e l’incidente ricevette molta attenzione. Di conseguenza, al problema fu assegnato l’identificatore CVE-2024-3094 e ottenne 10 punti su 10 possibili sulla scala CVSS.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Poiché xz Utils e la sua libreria liblzma sono molto popolari e inclusi nella maggior parte delle distribuzioni Linux (e sono utilizzati anche da molte applicazioni Linux e macOS), la scoperta del malware ha scatenato l’intera comunità open source.
Un’indagine condotta l’anno scorso ha rivelato che l’operazione backdoor era stata pianificata con cura ed era durata diversi anni; gli aggressori avevano pianificato l’attacco per molto tempo e si erano guadagnati la fiducia del responsabile della manutenzione di xz Utils, Lasse Collin (alias Larhzu).
La backdoor intercettava e reindirizzava le operazioni di decrittazione della chiave RSA SSH (la funzione RSA_public_decrypt ) a OpenSSH tramite il meccanismo IFUNC della libreria glibc. Di conseguenza, se un aggressore con una chiave privata speciale si connetteva tramite SSH a un sistema infetto, era in grado di bypassare l’autenticazione ed eseguire comandi da remoto con privilegi di root.
Poiché il malware è stato infine distribuito nei pacchetti ufficiali della distribuzione Linux (come Debian, Fedora, OpenSUSE e Red Hat), l’infezione xz Utils è stata una delle compromissioni più gravi dell’anno scorso.
Come riportato da Binarly questa settimana, i problemi alla supply chain causati dall’infezione xz Utils sono ancora in corso, con decine di immagini infette ancora presenti su Docker Hub.
“Abbiamo scoperto che alcune di queste immagini compromesse [da xz Utils] sono ancora pubblicamente disponibili su Docker Hub. Quel che è peggio è che altre immagini sono state create su queste immagini di base infette, dando origine a infezioni a cascata”, hanno affermato i ricercatori.
In totale, gli esperti hanno trovato 35 immagini di questo tipo ancora disponibili per il download. Allo stesso tempo, gli analisti sottolineano che questo numero riflette solo parzialmente la reale portata del problema, poiché non hanno effettuato una scansione completa della piattaforma.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cyber Italia
Cultura
Cybercrime
Cybercrime