Em 29 de março de 2024, foi identificada uma backdoor no XZ Utils, um pacote de software comummente utilizado nos sistemas operativos Linux.
Este desenvolvimento levou a Agência de Cibersegurança e Infra-estruturas dos EUA (CISA) a lançar um aviso, aconselhando os utilizadores a reverter o XZ Utils para uma versão segura, como o XZ Utils 5.4.6 Stable e pode ser referenciado no CVE-2024-3094, que explica que o código malicioso está presente no pacote XZ Utils versões 5.6.0/5.6.1 e pode resultar no desvio da autenticação SSH.
Como este pacote é de uso tão comum, interage com outros pacotes de software e pode ser explorado por alguém com intenções maliciosas, significa que a sua descoberta representa um apelo à ação para muitas organizações, tal como foi feito no passado para um evento industrial semelhante e generalizado como o Log4j.
Este CVE tem impacto nas operações do OPSWAT ?
Após uma análise abrangente da utilização de sistemas operativos Linux por parte de OPSWATe dos pacotes neles instalados, OPSWAT pode confirmar que nenhum sistema OPSWAT contém a versão 5.6.0 ou 5.6.1 do pacote XZ Utils.
Este CVE tem impacto nos produtos e serviços do OPSWAT ?
OPSWAT também efectuou uma revisão completa dos nossos produtos desenvolvidos e das suas dependências de software. Como resultado, OPSWAT pode confirmar que não inclui o XZ Utils 5.6.0 ou 5.6.1 nos seus produtos ou ofertas de serviços.
Dado o nosso compromisso com a segurança, queríamos garantir que comunicávamos eficazmente uma atualização quando chegássemos à nossa primeira avaliação.
Se tiver alguma dúvida ou preocupação, não hesite em contactar diretamente através de qualquer um dos nossos canais de apoio.
