Es posible que los usuarios de la biblioteca de compresión de datos de código abierto XZ Utils hayan evitado por poco ser víctimas de un importante ataque a la cadena de suministro, después de que se revelara evidencia de una puerta trasera aparentemente colocada intencionalmente en el código.
El código malicioso, incrustado en las versiones 5.6.0 y 5.6.1 de la biblioteca, permitió el acceso no autorizado a las distribuciones de Linux afectadas y en los últimos días ha sido objeto de alertas de empresas como Red Hat y Cybersecurity and Infrastructure de EE. UU. Agencia de Seguridad (CISA).
Red Hat explicó que la compilación maliciosa interfiere con la autenticación a través de Secure Shell (SSH). “En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación SSH y obtenga acceso no autorizado a todo el sistema de forma remota”, dijo en su aviso.
Según JFrog, el objetivo final de la puerta trasera es permitir que un actor malicioso inyecte código en el servidor OpenSSH que se ejecuta en la máquina objetivo y permitir a atacantes remotos específicos enviar cargas útiles arbitrarias a través de SSH que se ejecutan antes de la autenticación y se hacen cargo del objetivo.
Se le ha asignado la designación CVE-2024-3094, y su descubrimiento se atribuye a Andrew Freund, un desarrollador de Microsoft que llegó al código después de detectar inicios de sesión SSH fallidos utilizando altas cargas de la unidad central de procesamiento.
La puerta trasera en sí parece haber sido introducida en el proyecto en febrero, pero Freund la encontró antes de que se implementara por completo, aunque es posible que algunas distribuciones de Linux, incluidas Red Hat Fedora Linux 40 y Fedora Rawhide, ya hayan recibido el código contaminado. .
Otras distribuciones principales, incluidas Debian Linux, Kali Linux y SUSE, han emitido sus propios avisos al respecto.
Esfuerzo profundamente comprometido
La puerta trasera parece haber sido obra de un individuo con el nombre de JiaT75 quien, según una extensa investigación realizada por Ars Técnicahabía realizado importantes contribuciones al proyecto XZ Utils durante varios años.
A primera vista, la evidencia sugiere un esfuerzo coordinado y profundamente comprometido por parte de JiaT75 para engañar a todos. Sin embargo, aún se sabe poco sobre esta persona y es importante tener en cuenta la posibilidad de que no sea el culpable; es posible que ellos mismos se hayan visto comprometidos.
Saumitra Das, vicepresidente de tecnología de Qualys, dijo que el incidente de XZ Utils tuvo ecos del infame incidente SolarWinds-Sunburst, con un código inyectado silenciosamente para permitir el acceso remoto no autenticado.
“No está claro cuál sería la cadena de muerte completa del ataque una vez que se haya desarrollado, pero dichos ataques generalmente son muy difíciles de detectar en una etapa temprana”, dijo. “Este tipo de incidentes resaltan aún más la necesidad de una defensa en profundidad para permitir detecciones en diferentes etapas de la cadena de muerte”.
Das también señaló que las pruebas de desplazamiento a la izquierda, generalmente promocionadas como un medio para reforzar la integridad del código nuevo, proporcionaban garantías insuficientes contra el supuesto escenario de explotación, y tampoco habría servido de nada observar el comportamiento del sistema en la red o el punto final en busca de malware. binarios. Se necesitaría comando y control (C2) u otras actividades anómalas para tener alguna posibilidad de detectarlo, afirmó.
“Esto… resalta la necesidad de comprender mejor nuestra cadena de suministro de software”, dijo Das. “SBOM es sólo el primer paso que nos informa sobre los ingredientes del software. El siguiente paso sería verificar la fuente de esos ingredientes. El responsable de GitHub que puso esto, cómo se mantiene ese componente de código abierto y quién, son todas preguntas relevantes que tendremos que tener en cuenta”.
Se recomienda a los desarrolladores y usuarios que degraden XZ Utils a una versión no comprometida inmediatamente, antes de emprender una búsqueda exhaustiva de cualquier actividad maliciosa.