Una ola de ataques está afectando el núcleo de muchas distribuciones de Linux en el mercado a través de código malicioso que conduce a una puerta trasera en las versiones 5.6.0 y 5.6.1 de las bibliotecas xz. XZ es un formato de compresión de datos de propósito general presente en casi todas las distribuciones, ya sean proyectos comunitarios o distribuciones de productos comerciales. Básicamente, permite comprimir (y luego descomprimir) formatos de archivos grandes en tamaños más pequeños y manejables para compartir mediante transferencias de archivos. Una gran cantidad de sistemas operativos Linux se ven afectados, desde Red Hat, Fedora, Debian, Kali, openSuse y Arch Linux. Esta puerta trasera se introdujo en el proyecto xz de Github con la versión 5.6.0 en febrero de 2024.
De acuerdo a Instituto Nacional de Estándares y Tecnología (NIST)Este código malicioso se descubrió en los archivos XZ a partir de la versión 5.6.0. A través de una serie de complejas ofuscaciones de código, el proceso de compilación de liblzma extrae un archivo de objeto precompilado de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma. El resultado es una biblioteca liblzma modificada, que puede ser utilizada por cualquier software que se vincule con esta biblioteca, interceptando y modificando la interacción de los datos con esta biblioteca. CISA también emitió hoy un aviso advirtiendo a los desarrolladores y usuarios que cambien a una versión XZ no comprometida (es decir, 5.4.6 Stable) y analicen sus sistemas en busca de actividad maliciosa o sospechosa. La falla es crítica y tiene una puntuación CVSS máxima de 10.
Un riesgo de romper la autenticación sshd
Más preocupante aún es que el código malicioso resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo de uso común para conectarse de forma remota a los sistemas, y sshd es el servicio que permite este acceso. En determinadas circunstancias, esta interferencia podría permitir que un actor malicioso rompa la autenticación de sshd y obtenga acceso no autorizado a todo el sistema de forma remota. Las investigaciones actuales indican que la puerta trasera está activa en el demonio SSH, lo que permite a los actores maliciosos acceder a los sistemas donde SSH está expuesto a Internet. A fecha del 29 de marzo, se está realizando ingeniería inversa de la puerta trasera. A la espera de parches, los proveedores de distribuciones Linux afectadas y las comunidades recomiendan interrumpir su uso y/o degradar a versiones que incluyan XZ 5.4.x.
"Los usuarios de Fedora Linux 40 pueden haber recibido la versión 5.6.0, dependiendo del cronograma de actualización del sistema [...] Hemos determinado que la versión beta de Fedora Linux 40 contiene dos versiones afectadas de las bibliotecas xz: xz-libs-5.6.0-1.fc40.x86_64.rpm y xz-libs-5.6.0-2.fc40.x86_64.rpm. En este momento, Fedora 40 Linux no parece verse afectada por el exploit de malware, pero recomendamos a todos los usuarios de la versión beta de Fedora 40 Linux que vuelvan a la versión 5.4.x. explicado Red Hat. Según el proveedor, el código malicioso está ofuscado y solo se puede encontrar en el paquete de descarga completo, no en la distribución Git, que no contiene la macro M4, que activa el proceso de compilación de puerta trasera, dice el proveedor. Si la macro maliciosa está presente, los artefactos de segunda etapa que se encuentran en el repositorio Git se inyectan durante la compilación. "La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse de forma remota a los sistemas, y sshd es el servicio que permite el acceso", dijo Red Hat. "En las circunstancias adecuadas, esta interferencia podría permitir potencialmente que un actor malicioso rompa la autenticación de sshd y obtenga acceso no autorizado a todo el sistema de forma remota". Tenga en cuenta que ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada por este CVE.
Las distribuciones de Linux se vieron afectadas de diversas maneras
En el lado de Debian, no se sabe que haya versiones estables afectadas en este momento. "Los paquetes afectados eran parte de las distribuciones de prueba, inestable y experimental de Debian, con versiones que van desde 5.5.1alpha-0.1 (subida el 1 de febrero de 2024) hasta 5.6.1-1 inclusive. La versión de 5.6.1-1 se revirtió para utilizar el código 5.4.5 original, que versionamos como 5.6.1+really. 5.6.1+really5.4.5-1", anotado "El impacto de esta vulnerabilidad afectó a Kali entre el 26 y el 29 de marzo, período durante el cual xz-utils 5.6.0-0.2 estaba disponible. Si actualizó su instalación de Kali el 26 de marzo o después, pero antes del 29 de marzo, es fundamental que aplique las últimas actualizaciones hoy para resolver este problema. Sin embargo, si no actualizó su instalación de Kali antes del 26 de marzo, no se verá afectado por esta vulnerabilidad de puerta trasera", explicar Kali por su parte. Y openSuse para indicar: "Nuestra distribución rolling release openSuse Tumbleweed y openSuse MicroOS incluyeron esta versión entre el 7 y el 28 de marzo. SuSE Linux Enterprise y openSuse Leap se construyen independientemente de openSuse. El código, las funciones y las características de Tumbleweed no se introducen automáticamente en Suse Linux Enterprise y/o openSuse Leap. Se ha determinado que el archivo malicioso introducido en Tumbleweed no está presente en Suse Linux Enterprise y/o openSuse Leap".
Otras noticias que te pueden interesar