Se ha descubierto una puerta trasera en el popular paquete xz Utils para comprimir datos sin pérdidas y trabajar con el formato .xz Una puerta trasera es un método para eludir los procedimientos de autenticación estándar, el acceso remoto no autorizado a un ordenador.
El viernes, los usuarios a dejar de utilizar inmediatamente Distribución Fedora 41 5.6.0 y distribución Fedora Rawhide 5.6.0 o 5.6.1.
Existen sospechas sobre otras distribuciones. Sin embargo, no hay confirmación por el momento.
ArsTechnica dijo detalles del incidente.
XZ Utils — es un conjunto de herramientas gratuitas de compresión de datos. Está disponible en todas las distribuciones de Linux y otros sistemas operativos tipo Unix.
xz Utils proporciona funciones críticas para comprimir y descomprimir datos durante todo tipo de operaciones.
El primero en darse cuenta del problema fue el desarrollador Andres Freund, que trabaja en la oferta PostgreSQL de Microsoft. Recientemente, estaba solucionando problemas de rendimiento del sistema Debian con SSH, el protocolo más común para iniciar sesión de forma remota en dispositivos a través de Internet.
En particular, el inicio de sesión SSH cargaba mucho la CPU y generaba errores con valgrind, una utilidad de monitorización de memoria.
Finalmente descubrió que los problemas se debían a actualizaciones de xz Utils. El desarrollador se puso oficialmente en contacto con la Open Source Security List y declaró que las actualizaciones eran el resultado de la instalación intencionada de una puerta trasera en XZ Utils.
El código malicioso añadido a las versiones 5.6.0 y 5.6.1 de xz Utils modificó el funcionamiento del software durante las operaciones.
Cuando estas funciones incluían SSH, permitían ejecutar código malicioso con privilegios de root. Esto permite a alguien con una clave de cifrado predefinida iniciar sesión en un sistema de puerta trasera a través de SSH.
De este modo, la persona tendría el mismo nivel de control que cualquier administrador autorizado.
Los expertos señalaron que se tardó más de un año en crear la puerta trasera.
En 2021, un usuario de JiaT575 participaron por primera vez en un proyecto de operaciones.
Mirando hacia atrás, cambia en el proyecto libarchive son sospechosas porque sustituyeron la función safe_fprint por una variante que desde hace tiempo se considera menos segura. En su momento, nadie se dio cuenta.
Al año siguiente, JiaT575 envió una corrección a la lista de correo de xz Utils, y casi inmediatamente, un colaborador que había pasado desapercibido se unió a la discusión, afirmando que Lasse Collin, desarrollador de xz Utils, no había actualizado el software en mucho tiempo.
Esta presión llevó a JiaT575 a unirse al proyecto.
En enero de 2023 participaron por primera vez en desarrollo. Y en los meses siguientes, supuestamente se involucró cada vez más en el proceso.
En las semanas siguientes, Tan y otros pidieron a los desarrolladores de Ubuntu, Red Hat y Debian que añadieran actualizaciones a sus sistemas. E incluso algunas iban a salir pronto.
El backdoor se implementa con un cargador de arranque de cinco etapas que utiliza una serie de técnicas sencillas pero inteligentes para ocultarse. También proporciona un medio para entregar nuevas cargas útiles sin necesidad de grandes cambios.