Se ha descubierto que una puerta trasera incorporada en ZX Utils ha logrado infiltrarse en distribuciones populares de Linux.
Actores desconocidos han insertado un código malicioso en las versiones 5.6.0 y 5.6.1 del conjunto de herramientas de compresión XZ Utils. Para complicar aún más las cosas, estas utilidades comprometidas lograron infiltrarse en diversas versiones populares lanzadas en marzo, lo que podría interpretarse como un ataque a la cadena de suministro. Esta vulnerabilidad ha sido identificada como CVE-2024-3094.
¿Qué hace que este implante malicioso sea tan peligroso?
En un principio, algunos investigadores indicaron que esta puerta permitía a los atacantes evitar la autenticación sshd (el proceso del servidor OpenSSH) y obtener de forma remota información de acceso no autorizado al sistema operativo. No obstante, según las últimas noticias, esta vulnerabilidad no debería catalogarse como una «omisión de autenticación», sino más bien como una «ejecución remota de código» (RCE). La puerta interfiere con la función RSA_public_decrypt, autentica la firma del host con la clave fija Ed448 y, si se verifica correctamente, ejecuta el código malicioso a través de la función _system(), sin dejar huellas en los registros sshd.
¿Qué distribuciones contienen unidades maliciosas y cuáles son seguras?
Se tiene constancia de que las versiones 5.6.0 y 5.6.1 de XZ Utils se incorporaron en las versiones de marzo de las siguientes distribuciones de Linux:
- Kali Linux, aunque, según el blog oficial, que proporciona instrucciones para verificar la presencia de versiones vulnerables de utilidades, solo aquellas disponibles del 26 al 29 de marzo.
- openSUSE Tumbleweed y openSUSE MicroOS estuvieron disponibles del 7 al 28 de marzo.
- Fedora 41, Fedora Rawhide y Fedora Linux 40 beta.
- Debian (únicamente en las pruebas, distribuciones inestables y experimentales).
- Arch Linux, que contiene imágenes disponibles del 29 de febrero al 29 de marzo. Aunque la página web menciona que, debido a sus particularidades de implementación, no sería posible ejecutar este vector de ataque en Arch Linux, se recomienda actualizar el sistema.
Según fuentes oficiales, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap y Debian Stable no se ven afectados por vulnerabilidades. En el caso de otras distribuciones, se sugiere verificar la presencia de versiones comprometidas de XZ Utils.
¿Cómo se introdujo este código malicioso en XZ Utils?
Al parecer, se trató de un caso típico de transferencia de control. La persona que originalmente mantuvo el Proyecto XZ Libs en GitHub transfirió el control del repositorio a una cuenta que había estado contribuyendo a varios repositorios relacionados con la compresión de datos durante varios años. En algún momento, la persona detrás de esa cuenta implantó una puerta trasera en el código del proyecto.
¿Cómo resguardarse?
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) aconseja a quienes hayan instalado o actualizado los sistemas operativos afectados en marzo que actualicen XZ Utils a una versión anterior (por ejemplo, la versión 5.4.6) de inmediato. Además, se recomienda estar atento a posibles actividades maliciosas.
Si has instalado alguna distribución con una versión vulnerable de XZ Utils, también se sugiere cambiar todas las credenciales que los actores de amenazas podrían sustraer del sistema.
Para detectar la presencia de esta vulnerabilidad, puedes utilizar la regla Yara para CVE-2024-3094.
Paulina Jara