Il 29 marzo 2024 è stata identificata una backdoor in XZ Utils, un pacchetto software comunemente utilizzato nei sistemi operativi Linux.
Questo sviluppo ha portato la U.S. Cybersecurity and Infrastructure Agency (CISA) a rilasciare un avviso, consigliando agli utenti di ripristinare XZ Utils a una versione sicura, come XZ Utils 5.4.6 Stable e può essere riferito a CVE-2024-3094 che spiega che il codice maligno è presente nel pacchetto XZ Utils versioni 5.6.0/5.6.1 e può portare al bypass dell'autenticazione SSH.
Poiché questo pacchetto è di uso comune, interagisce con altri pacchetti software e può essere sfruttato da qualcuno con intenti malevoli, la sua scoperta rappresenta una chiamata all'azione per molte organizzazioni, come è stato fatto in passato per un evento simile diffuso nel settore come Log4j.
Questo CVE ha un impatto sulle operazioni di OPSWAT ?
Dopo un'analisi completa dell'uso dei sistemi operativi Linux di OPSWATe dei pacchetti installati su di essi, OPSWAT può confermare che nessun sistema OPSWAT contiene la versione 5.6.0 o 5.6.1 del pacchetto XZ Utils.
Questo CVE ha un impatto sui prodotti e servizi di OPSWAT ?
OPSWAT ha inoltre condotto una revisione approfondita dei prodotti sviluppati e delle loro dipendenze software. Di conseguenza, OPSWAT può confermare di non includere XZ Utils 5.6.0 o 5.6.1 nei propri prodotti o servizi.
Dato il nostro impegno per la sicurezza, volevamo assicurarci di comunicare efficacemente un aggiornamento al raggiungimento della nostra prima valutazione.
In caso di domande o dubbi, non esitate a contattarci direttamente attraverso i nostri canali di assistenza.
