código malicioso en paquetes de compresión en linux


Se ha descubierto un código malicioso en las distribuciones de Linux. Una puerta trasera implantada en ZX Utils ha logrado acceder a distribuciones populares de Linux. Actores desconocidos han implantado este código malicioso en las versiones abiertas 5.6.0 y 5.6.1 del conjunto de herramientas de compresión XZ Utils .

Inicialmente, se creía que esta puerta trasera permitía a los atacantes eludir la autenticación sshd (el proceso del servidor OpenSSH) y obtener acceso no autorizado al sistema operativo de manera remota. Sin embargo, según las últimas noticias, esta vulnerabilidad no debería clasificarse como una "omisión de la autenticación", sino más bien como una "ejecución remota de código" (RCE). La puerta trasera intercepta la función RSA_public_decrypt, verifica la firma del host usando la clave fija Ed448 y, si se verifica con éxito, ejecuta el código malicioso pasando por el host a través de la función system(), sin dejar rastros en los registros sshd.

¿Qué distribuciones de Linux contienen unidades maliciosas y cuáles son seguras? Se sabe que las versiones 5.6.0 y 5.6.1 de XZ Utils se incluyeron en las versiones de marzo de las siguientes distribuciones de Linux:

- Kali Linux: Aunque según el blog oficial, que incluye instrucciones para comprobar si hay versiones vulnerables de utilidades, solo aquellas que estuvieron disponibles del 26 al 29 de marzo.

- openSUSE Tumbleweed y openSUSE MicroOS: Disponibles del 7 al 28 de marzo.

- Fedora 41, Fedora Rawhide y Fedora Linux 40 beta.

- Debian: Únicamente en las pruebas, en las distribuciones inestables y en las experimentales.

- Arch Linux: Contiene imágenes disponibles del 29 de febrero al 29 de marzo. Sin embargo, la página web oficial afirma que, debido a sus peculiaridades de implementación, aunque este vector de ataque no funcionaría en Arch Linux, recomiendan igualmente actualizar el sistema.

Según fuentes oficiales, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap y Debian Stable no son vulnerables. En cuanto a otras distribuciones, se recomienda comprobar la presencia de versiones troyanizadas de XZ Utils.

¿Cómo se implantó el código malicioso en XZ Utils? Al parecer, se trató de un caso típico de transferencia de control. La persona que inicialmente mantuvo el Proyecto XZ Libs en GitHub pasó el control del repositorio a una cuenta que ha estado contribuyendo a varios repositorios relacionados con la compresión de datos durante varios años. Y, en algún momento, alguien detrás de esa otra cuenta implantó una puerta trasera en el código del proyecto. 

Comentarios

Entradas populares