Se ha descubierto una puerta trasera en el popular paquete xz Utils para comprimir datos sin pérdidas y trabajar con el formato .xz Una puerta trasera es un método para eludir los procedimientos de autenticación estándar, el acceso remoto no autorizado a un ordenador.
El viernes, los usuarios a dejar de utilizar inmediatamente Distribución Fedora 41 5.6.0 y distribución Fedora Rawhide 5.6.0 o 5.6.1.
Existen sospechas sobre otras distribuciones. Sin embargo, no hay confirmación por el momento.
ArsTechnica dijo detalles del incidente.
xz Utils
XZ Utils — es un conjunto de herramientas gratuitas de compresión de datos. Está disponible en todas las distribuciones de Linux y otros sistemas operativos tipo Unix.
xz Utils proporciona funciones críticas para comprimir y descomprimir datos durante todo tipo de operaciones.
¿Qué ha pasado?
El primero en darse cuenta del problema fue el desarrollador Andres Freund, que trabaja en la oferta PostgreSQL de Microsoft. Recientemente, estaba solucionando problemas de rendimiento del sistema Debian con SSH, el protocolo más común para iniciar sesión de forma remota en dispositivos a través de Internet.
En particular, el inicio de sesión SSH cargaba mucho la CPU y generaba errores con valgrind, una utilidad de monitorización de memoria.
Finalmente descubrió que los problemas se debían a actualizaciones de xz Utils. El desarrollador se puso oficialmente en contacto con la Open Source Security List y declaró que las actualizaciones eran el resultado de la instalación intencionada de una puerta trasera en XZ Utils.
¿Qué hace la puerta trasera?
El código malicioso añadido a las versiones 5.6.0 y 5.6.1 de xz Utils modificó el funcionamiento del software durante las operaciones.
Cuando estas funciones incluían SSH, permitían ejecutar código malicioso con privilegios de root. Esto permite a alguien con una clave de cifrado predefinida iniciar sesión en un sistema de puerta trasera a través de SSH.
Mirando hacia atrás, cambia en el proyecto libarchive son sospechosas porque sustituyeron la función safe_fprint por una variante que desde hace tiempo se considera menos segura. En su momento, nadie se dio cuenta.
Al año siguiente, JiaT575 envió una corrección a la lista de correo de xz Utils, y casi inmediatamente, un colaborador que había pasado desapercibido se unió a la discusión, afirmando que Lasse Collin, desarrollador de xz Utils, no había actualizado el software en mucho tiempo.
Esta presión llevó a JiaT575 a unirse al proyecto.
En enero de 2023 participaron por primera vez en desarrollo. Y en los meses siguientes, supuestamente se involucró cada vez más en el proceso.
- JiaT575 sustituyó la información de contacto de Collins por la suya propia en oss-fuzz de Microsoft, un proyecto que analiza el software de código abierto en busca de indicios de malicia.
- También se aseguró de desactivar la función ifunc durante las pruebas. Esto permitió que el sistema de seguridad ignorara los cambios realizados.
- En febrero de 2024, JiaT575 publicó commits para las versiones 5.6.0 y 5.6.1 xz Utils. Las actualizaciones implementaban una puerta trasera.
En las semanas siguientes, Tan y otros pidieron a los desarrolladores de Ubuntu, Red Hat y Debian que añadieran actualizaciones a sus sistemas. E incluso algunas iban a salir pronto.
El backdoor se implementa con un cargador de arranque de cinco etapas que utiliza una serie de técnicas sencillas pero inteligentes para ocultarse. También proporciona un medio para entregar nuevas cargas útiles sin necesidad de grandes cambios.