Por qué es importante: Por casualidad, el investigador de Microsoft, Andrés Freund, encontró un código malicioso que podría romper la autenticación sshd. Si no se hubiera descubierto, podría haber representado una grave amenaza para Linux. La comunidad de código abierto reaccionó al incidente, reconociendo la naturaleza fortuita del descubrimiento y cómo afortunadamente se detectó temprano antes de que pudiera representar un riesgo significativo para la comunidad Linux en general.
Andrés Freund, un desarrollador de PostgreSQL en Microsoft, estaba haciendo algunas microevaluaciones de rutina cuando notamos un pequeño retraso de 600 ms en los procesos ssh, notando que estaban usando una cantidad sorprendente de CPU a pesar de que deberían estar fallando de inmediato, según su correo en Mastodonte.
Una cosa llevó a la otra y Freund finalmente se topó con un ataque a la cadena de suministro que involucraba código malicioso ofuscado en el paquete XZ. Publicó su descubrimiento en el Lista de correo de seguridad de código abierto y la comunidad de código abierto lo tomó a partir de ahí.
Hoy intenté explicarles a mis amigos no tecnológicos que un ingeniero que depuró un retraso de 500 ms salvó toda la web, potencialmente toda la civilización.
– Peer Richelsen – oss/acc (@peer_rich) 30 de marzo de 2024
La comunidad de desarrolladores ha ido descubriendo rápidamente cómo este ataque se inyectó astutamente en las utilidades XZ, un pequeño proyecto de código abierto mantenido por un único desarrollador no remunerado desde al menos 2009. La cuenta asociada con las confirmaciones infractoras aparentemente jugó a largo plazo, ganándose lentamente la confianza del desarrollador de XZ, lo que ha llevado a especulaciones. que el autor del código malicioso es un atacante sofisticado, posiblemente afiliado a una agencia de un estado-nación.
Oficialmente llamado CVE-2024-3094, tiene la puntuación CVSS más alta posible: 10. Red Hat informes que el código malicioso modifica funciones dentro de liblzma, que es una biblioteca de compresión de datos que forma parte del paquete de utilidades XZ y es una parte fundamental de varias distribuciones importantes de Linux.
El agotamiento de los mantenedores de código abierto es un peligro de seguridad claro y presente. ¿Qué estamos haciendo al respecto? https://t.co/GZETWimy5i
– Ian Coldwater �»ï¿½ï¿½’� (@IanColdwater) 29 de marzo de 2024
Este código modificado puede luego ser utilizado por cualquier software vinculado a la biblioteca XZ y permitir la interceptación y modificación de los datos utilizados con la biblioteca. Bajo ciertas condiciones, según Freund, esta puerta trasera podría permitir que un actor malicioso rompa la autenticación sshd, permitiendo al atacante obtener acceso a un sistema afectado. Freund también informó que las versiones 5.6.0 y 5.6.1 de XZ utils se ven afectadas.
La puerta trasera xz está, bueno, prendiendo fuego a todo el ecosistema Linux… pero también estoy muy impresionado con cómo se configuró: mantenimiento de 2 años, oss-fuzz, etc.
…y quién sabe cuánto tiempo habría permanecido sin ser detectado si el código sshd inyectado se hubiera ejecutado más rápido (<600 ms)
Reflejos:
-Danny Lin (@kdrag0n) 30 de marzo de 2024
Red Hat ha identificado paquetes vulnerables en Fedora 41 y Fedora Rawhide, aconsejando a los usuarios que dejen de usarlos hasta que haya una actualización disponible, aunque Red Hat Enterprise Linux (RHEL) no se ve afectado. SUSE ha lanzado actualizaciones para openSUSE (Tumbleweed o MicroOS). Las versiones estables de Debian Linux son seguras, pero las versiones de prueba, inestables y experimentales requieren actualizaciones de xz-utils debido a paquetes comprometidos. Los usuarios de Kali Linux que actualizaron entre el 26 y el 29 de marzo deben actualizar nuevamente para obtener una solución, mientras que aquellos que actualizaron antes del 26 de marzo no se ven afectados por esta vulnerabilidad.
Sin embargo, como han señalado muchos investigadores de seguridad, la situación aún está desarrollándose y se podrían descubrir más vulnerabilidades. Tampoco está claro cuál iba a ser la carga útil. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha aconsejado que la gente cambie a una versión de utilidades XZ sin compromisos, que sería anterior a la 5.6.0. Las empresas de seguridad también recomiendan a los desarrolladores y usuarios que realicen pruebas de respuesta a incidentes para ver si se han visto afectados y, de ser así, informarlo a CISA.
Esto explica cómo se encontró la puerta trasera xz. pic.twitter.com/n9rNjvawHU
– myq (@mippl3) 30 de marzo de 2024
Afortunadamente, no parece que esas versiones afectadas se hayan incorporado a ninguna versión de producción de las principales distribuciones de Linux, pero Will Dormann, analista senior de vulnerabilidades de la firma de seguridad Analygence, le dijo a Ars Technica que este descubrimiento fue una llamada cercana. «Si no se hubiera descubierto, habría sido catastrófico para el mundo», afirmó.