RedHat lanzó el viernes una «alerta de seguridad urgente» advirtiendo que dos versiones de una popular biblioteca de compresión de datos llamada Utilidades XZ (anteriormente LZMA Utils) tienen una puerta trasera con código malicioso diseñado para permitir el acceso remoto no autorizado.
El compromiso de la cadena de suministro de software, rastreado como CVE-2024-3094, tiene una puntuación CVSS de 10,0, lo que indica gravedad máxima. Afecta a las versiones 5.6.0 de XZ Utils (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo).
«A través de una serie de ofuscaciones complejas, el proceso de construcción de liblzma extrae un archivo objeto prediseñado de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma», dijo la filial de IBM. dicho en un aviso.
«Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca».
Específicamente, el código nefasto incorporado en el código es diseñado para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del sistemad paquete de software y potencialmente permitir que un actor de amenazas rompa la autenticación sshd y obtenga acceso no autorizado al sistema de forma remota «bajo las circunstancias adecuadas».
Al investigador de seguridad de Microsoft, Andrés Freund, se le atribuye el mérito de descubrir e informar el problema el viernes. Se dice que el código malicioso fuertemente ofuscado se introdujo a lo largo de una serie de cuatro confirmaciones para el proyecto tukaani en GitHub por un usuario llamado JiaT75.
«Dada la actividad de varias semanas, el autor de la confirmación está directamente involucrado o hubo algún compromiso bastante grave de su sistema», dijo Freund. dicho. «Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘soluciones'».
Desde entonces, GitHub, propiedad de Microsoft, deshabilitó el repositorio de XZ Utils mantenido por el Proyecto Tukaani «debido a una violación de los términos de servicio de GitHub». Actualmente no hay informes de explotación activa en la naturaleza.
La evidencia muestra que los paquetes solo están presentes en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, amazonlinuxy SUSE Linux Enterprise y Leap.
Por precaución, se ha recomendado a los usuarios de Fedora Linux 40 que bajen a una versión 5.4. Algunas de las otras distribuciones de Linux afectadas por el ataque a la cadena de suministro se encuentran a continuación:
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un alerta propio, instando a los usuarios a degradar XZ Utils a una versión no comprometida (por ejemplo, XZ Utils 5.4.6 Stable).