Descubren Puerta Trasera en XZ Utils: Recomendaciones para usuarios de Linux
Desde su posible introducción por diseñadores, desarrolladores de software o actores malintencionados, las backdoors pueden abrir la puerta a una serie de riesgos, desde la vigilancia clandestina hasta el robo de información confidencial. En Alveritmos, exploraremos este caso reciente, Puerta Trasera en XZ Utils, así como también qué son las backdoors, cómo pueden ser utilizadas y por qué su detección y eliminación son fundamentales para salvaguardar la seguridad de los sistemas informáticos.
¿Qué es el XZ Utils?
XZ Utils es un conjunto de programas de código abierto para comprimir y descomprimir archivos, basado en el formato LZMA2. Ofrece alta compresión con mínima pérdida de datos y herramientas de línea de comandos para su uso, por lo que ha sido ampliamente utilizado en sistemas Linux.
¿Qué es una Backdoor o puerta trasera?
Una «backdoor» es una vulnerabilidad intencionalmente creada en un sistema informático que permite acceso no autorizado. Puede ser introducida por diseñadores, desarrolladores o personas malintencionadas, permitiendo eludir la autenticación normal. Las backdoors se usan para fines como vigilancia clandestina o robo de datos. Su detección y eliminación son cruciales para mantener la seguridad del sistema.
¿Cómo descubrieron la Puerta Trasera en XZ Utils?
El 29 de marzo del 2024, un ingeniero de Microsoft, Andres Freund, realizaba pruebas rutinarias en un sistema basado en Debian cuando notó un comportamiento inusual en el rendimiento del protocolo SSH.
Profundizando en el análisis, descubrió un consumo excesivo de recursos de CPU y errores al ejecutar Valgrind (se utiliza para depurar problemas relacionados con la memoria y el rendimiento en programas de computadora).
Aunque no era un experto en ciberseguridad, sus sospechas lo llevaron a investigar más a fondo, revelando la existencia de una puerta trasera en XZ Utils.
Esta puerta trasera resulta ser muy indirecta y solo se manifiesta cuando se cumplen ciertos criterios específicos.
Existe la posibilidad de que aún se descubran otras vulnerabilidades similares. Sin embargo, esta puerta trasera puede ser activada al menos por sistemas remotos que se conectan a puertos SSH públicos sin necesidad de privilegios especiales.
Se ha observado en situaciones reales que se activa a través de conexiones, lo que genera problemas de rendimiento. Aún no se ha determinado qué se requiere para evitar la autenticación, entre otros aspectos.
Detalles técnicos de la Puerta Trasera en XZ Utils
La puerta trasera fue implantada en las versiones 5.6.0 y 5.6.1 de XZ Utils, modificando su código para incluir funciones maliciosas. El origen de esta intrusión se remonta a presuntos piratas informáticos operando bajo el usuario «JiaT75», quienes utilizaron técnicas de ingeniería social para obtener el control del mantenimiento de la utilidad.
Los cambios en el código se realizaron discretamente desde principios de 2023, utilizando un cargador de cinco etapas para mantenerse indetectables.
Esta vulnerabilidad permitía a los atacantes ejecutar comandos con privilegios de root en equipos que manipulaban archivos comprimidos en el formato .lmza y utilizaban el protocolo SSH.
Aparentemente, para que el sistema sea vulnerable debe tener algunas condiciones:
- Ejecutar una distribución que use glibc (para IFUNC)
- Debe tener instaladas las versiones 5.6.0 o 5.6.1 de xz.
Aún se encuentra en estudio esta puerta trasera en XZ Utils, por lo que se debe estar atento a nuevas actualizaciones, y noticias sobre los responsables.
¿Qué hacer si uso Linux?
Para los usuarios de Linux, especialmente aquellos que utilizan distribuciones afectadas como Kali Linux, openSUSE Tumbleweed, openSUSE MicroOS, Fedora Rawhide y versiones inestables de Debian, es crucial tomar medidas preventivas.
Se recomienda revertir a la versión 5.4 de XZ Utils, que no contiene la puerta trasera maliciosa. Además, es fundamental mantenerse actualizado con los parches de seguridad proporcionados por los desarrolladores de las distribuciones de Linux y estar atento a las alertas de seguridad emitidas por las comunidades de software libre.
El descubrimiento de esta puerta trasera en XZ Utils plantea serias preocupaciones sobre la seguridad de los proyectos de código abierto y la cadena de suministro de software. Aunque la detección temprana evitó una explotación masiva, el elevado detalla en la manipulación y creación del ataque y su capacidad para pasar desapercibido resaltan la necesidad de mejorar los procesos de revisión y auditoría de código en la comunidad de desarrollo de software.
Las consecuencias de un ataque exitoso podrían haber sido desastrosas, con millones de sistemas Linux comprometidos y expuestos a explotaciones maliciosas. Este incidente subraya la importancia de la vigilancia constante y la colaboración entre desarrolladores y expertos en seguridad cibernética para proteger la integridad de los sistemas informáticos en todo el mundo.
Referencias
- AndresFreundTec (@AndresFreundTec@mastodon.social). (n.d.). Mastodon. https://mastodon.social/@AndresFreundTec/112180083704606941
- oss-security: puerta trasera en xz/liblzma ascendente que compromete el servidor ssh. (2024, March 29). https://www.openwall.com/lists/oss-security/2024/03/29/4
- xz-utils backdoor situation (CVE-2024-3094). (n.d.). Gist. https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
- #1068024 – revert to version that does not contain changes by bad actor – Debian Bug report logs. (n.d.). https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
