Se encontró una backdoor secreta en la biblioteca XZ Utils que afecta a las principales distribuciones de Linux

Red Hat emitió el viernes una «alerta de seguridad urgente» advirtiendo que dos versiones de una conocida biblioteca de compresión de datos llamada XZ Utils (anteriormente conocida como LZMA Utils) han sido contaminadas con código malicioso diseñado para permitir acceso remoto no autorizado.

Este incidente de compromiso en la cadena de suministro de software, identificado como CVE-2024-3094, tiene una calificación CVSS de 10.0, lo que indica una gravedad máxima. Afecta a las versiones 5.6.0 (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo) de XZ Utils.

«A través de una serie de complicadas técnicas de ocultamiento, el proceso de construcción de la biblioteca liblzma extrae un archivo de objeto preconstruido de un archivo de prueba camuflado presente en el código fuente, el cual es luego empleado para alterar funciones específicas en el código de liblzma», informó la subsidiaria de IBM en un comunicado.

«Esto resulta en una versión modificada de la biblioteca liblzma que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con la misma».

El código malicioso incrustado en la biblioteca está diseñado específicamente para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del conjunto de software systemd, y potencialmente permitir que un atacante rompa la autenticación de sshd y obtenga acceso no autorizado al sistema de forma remota «en las circunstancias adecuadas».

El investigador de seguridad de Microsoft, Andrés Freund, ha sido reconocido por descubrir y reportar este problema el viernes. Se afirma que el código malicioso, altamente encubierto, fue introducido a lo largo de una serie de cuatro compromisos en el Proyecto Tukaani en GitHub por un usuario identificado como Jia Tan (JiaT75).

«Dada la actividad durante varias semanas, el autor de los compromisos está o bien directamente involucrado o ha habido algún tipo de compromiso severo de su sistema. Lamentablemente, la segunda opción parece menos probable, dado que se comunicaron en varias listas sobre las ‘correcciones'», señaló Freund.

GitHub, propiedad de Microsoft, ha desactivado temporalmente el repositorio de XZ Utils mantenido por el Proyecto Tukaani «debido a una violación de los términos de servicio de GitHub». Actualmente, no se han reportado casos de explotación activa en el entorno real.

La evidencia indica que los paquetes afectados están presentes solamente en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux y SUSE Linux Enterprise y Leap.

Como medida preventiva, se ha sugerido a los usuarios de Fedora Linux 40 que regresen a una versión 5.4. Algunas otras distribuciones de Linux impactadas por este ataque en la cadena de suministro son:

Este incidente ha llevado a la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) a emitir su propia alerta, instando a los usuarios a regresar a una versión no comprometida de XZ Utils (por ejemplo, XZ Utils 5.4.6 Estable).

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *