Alerta de Seguridad No. 1/24: BACKDOOR INTRODUCIDO EN ‘XZ Utils’

  • 01/04/2024
  • 194
Alerta de Seguridad No. 1/24: BACKDOOR INTRODUCIDO EN ‘XZ Utils’

CRITICO

1 de abril 2024

El 29 de marzo, se informó de que se había detectado un código malicioso que permitía el acceso remoto no autorizado a SSH dentro de XZ Utils, un paquete ampliamente utilizado presente en las principales distribuciones de Linux. Afortunadamente, el código malicioso fue descubierto rápidamente por la comunidad OSS y sólo consiguió infectar dos de las versiones más recientes del paquete, 5.6.0 y 5.6.1, que se publicaron en el último mes. Las versiones estables de la mayoría de las distribuciones de Linux no se vieron afectadas.

La sofisticada carga maliciosa que venía con las versiones afectadas de XZ Utils se ejecutaba en el mismo proceso que el servidor OpenSSH (SSHD) y modificaba las rutinas de descifrado en el servidor OpenSSH con el fin de permitir a atacantes remotos específicos (que posean una clave privada específica) enviar cargas útiles arbitrarias a través de SSH que se ejecutarán antes del paso de autenticación, secuestrando efectivamente toda la máquina víctima.

Este ataque a la cadena de suministro supuso una conmoción para la comunidad OSS, ya que XZ Utils se consideraba un proyecto fiable y sometido a escrutinio. El atacante se labró una reputación creíble como desarrollador de OSS a lo largo de varios años y utilizó código muy ofuscado para evitar ser detectado por las revisiones de código.
Las siguientes distribuciones fueron afectadas:

  • Fedora: ramas 40, 41 y Rawhide. Solución; Fedora 40 actualizar a última versión. Fedora 41 y Rawhide; Detener su uso inmediatamente.
  • Debian: ramas Testing, Unstable, Experimental. Solución; Actualizar a la última versión (5.6.1+really5.4.5-1)
  • Alpine: ramas Edge; Solución: Actualizar a última versión (5.6.1-r2)
  • Kali: Solución: Actualizar a última versión (5.6.1+really5.4.5-1)
  • OpenSuse: Tumbleweed; Solución Actualizar a última versión (5.6.1.revertto5.4)
  • Arch Linux: Solución: Actualizar a última versión (5.6.1-2)

 

*Revisar de inmediato las versiones de los sistemas que coincidan y tomar las medidas de actualización.

Referencias:

https://jfrog.com/blog/xz-backdoor-attack-cve-2024-3094-all-you-need-to-know/
https://nvd.nist.gov/vuln/detail/CVE-2024-3094