imágenes falsas
Los investigadores han encontrado una puerta trasera maliciosa en una herramienta de compresión que llegó a distribuciones de Linux ampliamente utilizadas, incluidas las de Red Hat y Debian.
La utilidad de compresión, conocida como Utilidades xzintrodujo el código malicioso en las versiones 5.6.0 y 5.6.1, de acuerdo a Andrés Freund, el desarrollador que lo descubrió. No hay informes conocidos de que esas versiones se hayan incorporado en ninguna versión de producción para las principales distribuciones de Linux, pero ambas sombrero rojo y Debian informó que las versiones beta publicadas recientemente utilizaron al menos una de las versiones con puerta trasera, específicamente, en Fedora 40 y Fedora Rawhide y Debian, distribuciones inestables y experimentales. Una versión estable de Arch Linux también se ve afectada. Esa distribución, sin embargo, no se utiliza en los sistemas de producción.
Debido a que la puerta trasera se descubrió antes de que se agregaran las versiones maliciosas de xz Utils a las versiones de producción de Linux, “realmente no está afectando a nadie en el mundo real”, dijo Will Dormann, analista senior de vulnerabilidades de la firma de seguridad Analygence, en una entrevista en línea. “PERO eso es sólo porque se descubrió temprano debido al descuido del mal actor. Si no se hubiera descubierto, habría sido catastrófico para el mundo”.
Varias personas, incluidos dos lectores de Ars, informaron que las múltiples aplicaciones incluidas en el administrador de paquetes HomeBrew para macOS dependen de la versión 5.6.1 con puerta trasera de xz Utils. HomeBrew ahora ha revertido la utilidad a la versión 5.4.6. Los mantenedores tienen más detalles disponibles. aquí.
Rompiendo la autenticación SSH
Los primeros signos de la puerta trasera se introdujeron en una actualización del 23 de febrero que agregó código ofuscado, dijeron funcionarios de Red Hat en un correo electrónico. Una actualización al día siguiente incluía un script de instalación malicioso que se inyectaba en las funciones utilizadas por sshd, el archivo binario que hace que SSH funcione. El código malicioso ha residido únicamente en las versiones archivadas, conocidas como archivos tar, que se publican en sentido ascendente. El llamado código GIT disponible en los repositorios no se ve afectado, aunque contiene artefactos de segunda etapa que permiten la inyección durante el tiempo de compilación. En caso de que esté presente el código ofuscado introducido el 23 de febrero, los artefactos en la versión GIT permiten que funcione la puerta trasera.
Los cambios maliciosos fueron enviados por JiaT75, uno de los dos principales desarrolladores de xz Utils con años de contribuciones al proyecto.
“Dada la actividad de varias semanas, el autor de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema”, escribió un funcionario del distribuidor OpenWall en un consultivo. “Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘soluciones'” proporcionadas en actualizaciones recientes. Esas actualizaciones y correcciones se pueden encontrar aquí
El jueves, alguien que usaba el nombre del desarrollador visitó un sitio de desarrolladores de Ubuntu para solicitar que se publicara la versión 5.6.1 con puerta trasera. incorporado en las versiones de producción porque solucionó errores que causaban el mal funcionamiento de una herramienta conocida como Valgrind.
“Esto podría romper los scripts de compilación y los procesos de prueba que esperan resultados específicos de Valgrind para poder aprobarse”, advirtió la persona, desde una cuenta que se creó el mismo día.
Uno de los mantenedores de Fedora. dijo el viernes que el mismo desarrollador se acercó a ellos en las últimas semanas para pedirles que Fedora 40, una versión beta, incorporara una de las versiones de utilidad con puerta trasera.
“Incluso trabajamos con él para solucionar el problema de valgrind (que ahora resulta que fue causado por la puerta trasera que había agregado)”, dijo el mantenedor de Ubuntu.
Ha sido parte del proyecto xz durante dos años, agregando todo tipo de archivos de prueba binarios y, con este nivel de sofisticación, sospecharíamos de versiones aún más antiguas de xz hasta que se demuestre lo contrario.
Los mantenedores de xz Utils no respondieron de inmediato a los correos electrónicos con preguntas.
Las versiones maliciosas, dijeron los investigadores, interfieren intencionalmente con la autenticación realizada por SSH, un protocolo comúnmente utilizado para conectarse de forma remota a sistemas. SSH proporciona un cifrado sólido para garantizar que solo las partes autorizadas se conecten a un sistema remoto. La puerta trasera está diseñada para permitir que un actor malintencionado rompa la autenticación y, desde allí, obtenga acceso no autorizado a todo el sistema. La puerta trasera funciona inyectando código durante una fase clave del proceso de inicio de sesión.
“Aún no he analizado con precisión qué se está comprobando en el código inyectado para permitir el acceso no autorizado”, escribió Freund. “Dado que esto se ejecuta en un contexto de autenticación previa, parece probable que permita alguna forma de acceso u otra forma de ejecución remota de código”.
En algunos casos, la puerta trasera no ha podido funcionar según lo previsto. El entorno de compilación en Fedora 40, por ejemplo, contiene incompatibilidades que impiden que la inyección se produzca correctamente. Fedora 40 ahora ha vuelto a las versiones 5.4.x de xz Utils.
Xz Utils está disponible para la mayoría, si no para todas, las distribuciones de Linux, pero no todas lo incluyen de forma predeterminada. Cualquiera que utilice Linux debe consultar inmediatamente con su distribuidor para determinar si su sistema está afectado. Freund proporcionó un script para detectar si un sistema SSH es vulnerable.