Backdoor do XZ Utils (CVE-2024-3094).

Ataque de cadeia de fornecimento de 2024, quase bem-sucedido, no qual um contribuidor de longa data plantou um backdoor SSH ofuscado na biblioteca xz/liblzma distribuída pela maioria das distribuições Linux. Pertence à categoria Ataques e ameaças da cibersegurança.

Ataque de cadeia de fornecimento de 2024, quase bem-sucedido, no qual um contribuidor de longa data plantou um backdoor SSH ofuscado na biblioteca xz/liblzma distribuída pela maioria das distribuições Linux.

O backdoor do XZ Utils (CVE-2024-3094) é uma comprometimento da cadeia de fornecimento de software divulgado em 29 de março de 2024 pelo engenheiro da Microsoft Andres Freund, que notou uso anómalo de CPU e erros de Valgrind no sshd num sistema Debian sid. A investigação revelou que o mantenedor upstream do xz/liblzma 'Jia Tan' — um pseudónimo que passou quase dois anos a construir confiança no projecto — tinha introduzido scripts de build ofuscados que, ao serem empacotados em distribuições baseadas em rpm ou deb com a dependência libsystemd → liblzma do systemd, substituíam uma função do servidor OpenSSH através de resolvedores IFUNC e permitiam execução remota de código ao detentor de uma chave privada Ed448 específica. O código malicioso foi entregue no xz-utils 5.6.0 e 5.6.1 e chegou ao Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali e Arch, mas foi detectado antes da maioria das versões estáveis. O incidente reformulou o entendimento da indústria sobre dependências com um único mantenedor, ocultação baseada em IFUNC e os limites da confiança em contribuidores antigos.

As defesas contra Backdoor do XZ Utils (CVE-2024-3094) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: CVE-2024-3094, Backdoor Jia Tan, Backdoor do liblzma.