La curiosidad de un investigador descubre una puerta trasera en una popular utilidad de Linux que compromete las conexiones SSH
En un interesante descubrimiento que envió una serie de ondas de choque a través de la comunidad Linux, Andres Freund, Ingeniero Principal de Software en Microsoft, localizó un backdoor malicioso en la herramienta de compresión ampliamente utilizada llamada "xz Utils". La puerta trasera, introducida en las versiones 5.6.0 y 5.6.1 de la utilidad, puede romper el robusto cifrado proporcionado por el protocolo Secure Shell (SSH), permitiendo el acceso no autorizado a los sistemas afectados. Lo que descubrió Andres Freund es que la última versión de xz Utils tardaba 0,5 segundos en SSH en su sistema, mientras que el sistema con la versión anterior tardaba 0,1 segundos para un procesamiento simple, lo que llevó al usuario a investigar y posteriormente a enviar un acto generalizado de precaución. Aunque no hay informes confirmados de que las versiones backdoored se hayan incorporado a las versiones de producción de las principales distribuciones de Linux, el incidente ha suscitado serias preocupaciones tanto entre los usuarios como entre los desarrolladores.
Red Hat y Debian, dos de los desarrolladores de distribuciones Linux más conocidos, han informado de que sus versiones beta publicadas recientemente, incluidas Fedora 40, Fedora Rawhide y las distribuciones de prueba, inestables y experimentales de Debian, utilizaban al menos una de las versiones afectadas de xz Utils. Según los responsables de Red Hat, los primeros indicios de la puerta trasera se introdujeron en una actualización del 23 de febrero, que añadía código ofuscado (ilegible) a xz Utils. Una actualización posterior, al día siguiente, introdujo funciones para desofuscar el código e inyectarlo en las bibliotecas de código durante el proceso de actualización de la utilidad. El código malicioso se ha ocultado hábilmente sólo en los tarballs, que se dirigen a las versiones upstream de las distribuciones de Linux.
El backdoor está diseñado específicamente para interferir en el proceso de autenticación realizado por SSH, un protocolo crítico utilizado para conexiones remotas seguras a sistemas. Al romper el cifrado proporcionado por SSH, la puerta trasera permite a los actores maliciosos obtener acceso no autorizado a todo el sistema, comprometiendo potencialmente datos y recursos sensibles. Se recomienda a los usuarios de las distribuciones afectadas que actúen con precaución y apliquen los parches o actualizaciones disponibles lo antes posible para mitigar el riesgo de explotación. Mientras continúa la investigación sobre esta brecha de seguridad, el incidente es un duro recordatorio de la importancia de la vigilancia y las auditorías de seguridad periódicas, incluso en el ecosistema del software de código abierto. La comunidad Linux es y debe seguir siendo proactiva a la hora de identificar y abordar este tipo de amenazas para garantizar la integridad y seguridad de los sistemas basados en Linux que alimentan toda la infraestructura moderna actual.
Fuentes: OpenWall Post de Andres Freund, vía Ars Technica
Comments