Los atacantes del estado-nación aparentemente comprometieron un software de compresión de datos de código abierto ampliamente utilizado como parte de un ataque a la cadena de suministro.
Ver también: Cuando toda identidad está en riesgo, ¿por dónde empezar?
El código malicioso parece estar insertado en las versiones 5.6.0 y 5.6.1 de XZ Utils, un conjunto de herramientas y bibliotecas de código abierto para el formato de compresión XZ que se lanzó inicialmente como LZMA Utils en 2009 y está presente en casi todos los archivos abiertos. Fuente de distribución de Linux y comercial. Para ser descubierto rápidamente. Esto puede haber ayudado a limitar el uso generalizado de la vulnerabilidad, que parece estar diseñada para facilitar el acceso remoto y no autorizado a los sistemas afectados.
Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. el viernes Él dijo «Recomienda a los desarrolladores y usuarios degradar XZ Utils a una versión sin parches, como XZ Utils 5.4.6 Stable», así como «buscar cualquier actividad maliciosa e informar cualquier hallazgo positivo» a la agencia.
La vulnerabilidad ha sido identificada en XZ Utils CVE-2024-3094, incluye Liblzma, que forma parte del paquete XZ. La vulnerabilidad se utiliza para facilitar el acceso remoto completo al sistema a través de SSHD, un proceso del servidor OpenSSH.
La vulnerabilidad podría «permitir que un actor malintencionado rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota». advertir Red Hat, fabricante de distribuciones de Linux. «Afortunadamente, xz 5.6.0 y 5.6.1 aún no se han integrado ampliamente en las distribuciones de Linux, y donde sí lo están, es principalmente en versiones preliminares».
GitHub lo tiene Deshabilitar el repositorio Se utilizan para propagar código de puerta trasera.
«A través de una serie de ofuscaciones complejas, el proceso de construcción de liblzma extrae un archivo objeto previamente generado de un archivo de prueba enmascarado contenido en el código fuente, que luego se utiliza para modificar funciones específicas en el código liblzma», dijo la Base de Datos Nacional de Vulnerabilidad de EE. UU. «Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier programa asociado con esta biblioteca y para interceptar y modificar la interacción de datos con esta biblioteca».
«El troyano permite que alguien con una clave privada comprometa el SSHD para ejecutar comandos, entre otras funciones». Él dijo El experto en seguridad británico Kevin Beaumont en una publicación de blog. «Está muy avanzado».
Fundación de seguridad de código abierto mencionado El ataque, al menos hasta ahora, parece estar diseñado sólo para funcionar con paquetes Debian o RPM Package Manager. «Aunque se desconoce el motivo detrás de esta puerta trasera, la intención era comprometer ciertas distribuciones, ya que las puertas traseras sólo se aplicaban a paquetes DEB o RPM para la arquitectura x86-64 construida con GNU y el enlazador GNU», dijo, refiriéndose a la grupo de compiladores GNU, así como el vinculador GNU utilizado para crear un archivo ejecutable o una biblioteca.
Alertas de software
El crédito por descubrir el código pirateado es para Andrés Freund. El viernes, un ingeniero de software principal de Microsoft a publicar a la lista de correo de seguridad de software de código abierto que después de «notar algunos síntomas extraños en torno a liblzma» en instalaciones de Debian Unstable – una versión de desarrollo escalada de Debian con nombre en código «Sid» – descubrió que «el repositorio xz ascendente y los tarballs xz», – o archivos comprimidos La utilidad tar tiene una «puerta trasera» desde febrero, después de lo cual la nueva versión de la utilidad comenzó a abrirse camino en otros programas.
Su alerta llegó justo antes de las 9 a. m. PT del viernes, al comienzo del fin de semana largo de Pascua para muchas personas, incluso en toda Europa y en varios estados y distritos escolares de EE. UU.
Desde entonces, varios desarrolladores de software han advertido a los usuarios que pueden haber recibido software infectado.
Red Hat advirtió a los usuarios que «dejen de usar inmediatamente cualquier instancia de Fedora Rawhide para actividades laborales o personales». Rawhide es un parche de desarrollo que se actualiza constantemente para la distribución Red Hat Enterprise Linux, que sirve como base para futuras versiones de Linux.
Red Hat también advirtió que algunos usuarios de Fedora Linux 40 beta pueden haber recibido versiones ocultas de las bibliotecas XZ, «dependiendo del momento de las actualizaciones del sistema», aunque el sistema operativo «no parece verse afectado por el exploit de malware real». Sin embargo, he alentado a todos los usuarios de Fedora 40 Linux beta a que bajen inmediatamente a 5.4.x.
el Debian El equipo de desarrollo dijo que si bien ninguna versión estable de su sistema operativo se ve afectada, «la próxima versión 12.6 se ha retrasado mientras investigamos los impactos del CVE en el archivo».
ubuntu Él dijo “Ninguna versión publicada” de su sistema operativo se ve afectada.
El equipo de desarrollo de Kali ha advertido contra cualquiera que actualice su instalación de Kali a partir del 26 de marzo.
Arco Linux Él dijo «El código malicioso no existe en la versión Arch de sshd, ya que no está relacionado con liblzma», aunque se recomienda a los usuarios «evitar el código vulnerable en su sistema porque podría ejecutarse desde otros vectores no especificados».
La vulnerabilidad también puede existir en cualquier persona. Utilice la utilidad Homebrew Para instalar Python v3 en macOS.
El perpetrador: una operación de inteligencia
Experto en seguridad operativa conocido como The Grugq Él dijo La puerta trasera parece haber sido el resultado de una compleja y “paciente” operación de inteligencia de dos años que tuvo como objetivo a la persona que guardaba el XZ en su tiempo libre, Lasse Collin, e “invirtió más recursos en sabotearlo que los que nadie invirtió en su proyecto”. .”
El Grog dijo que Lacey era «inocente en esto». “Ningún individuo, y muy pocas organizaciones, son capaces de detectar, ¡y mucho menos resistir!, los intereses dirigidos por una agencia de inteligencia”. En este caso, dijo que las etapas iniciales de este tipo de operación de “inteligencia mayoritariamente humana” comenzaron alrededor de marzo de 2022, con mensajes enviados a Lasse, particularmente de un personaje llamado “Jigar Kumar”, denunciando la falta de actualizaciones para el XZ. Más tarde, los atacantes parecieron presentar a un personaje llamado «Jia Tan», quien mágicamente se ofreció a ayudar a Lasse con su carga de trabajo y luego diseñó socialmente a Lasse para darle el derecho de enviar actualizaciones de código directamente.
Experto en ciberseguridad SwiftOnSecurity Él dijo Aunque el ataque es interesante, los equipos de seguridad de cualquier organización que no haya sido atacada a través de la puerta trasera deberían continuar enfocándose en preocupaciones de seguridad básicas y apremiantes, como estar expuestos a una violación debido a que no parchearon fallas conocidas, por ejemplo en su software telemático. Su – a tiempo.
«Si vale la pena correr el riesgo de quemar este tipo de puerta trasera global porque no pueden idear nada más para golpearte con decenas de miles de millones de dólares y un ejército de ciberdelincuentes, entonces ya eres un ganador. Ellos «Tuve que hacer trampa. Recoge tu premio», dijo SwiftOnSecurity. «El resto de estas personas están expuestas a archivos adjuntos de correo electrónico y condensadores de VPN sin parches».
Software de código abierto bajo fuego
Los expertos en seguridad han estado advirtiendo durante años que muchos componentes de código abierto proporcionan funcionalidades importantes pero a menudo no cuentan con el soporte adecuado.
Este problema sigue destacándose, incluso en 2014 con el descubrimiento de la vulnerabilidad «Heartbleed» en la biblioteca criptográfica OpenSSL, que dio lugar a nuevas iniciativas para invertir más dinero en proyectos de código abierto. En 2021, el descubrimiento de Log4Shell, una falla en el software de registro Log4j ampliamente utilizado de la Apache Software Foundation, destacó los riesgos de la cadena de suministro que plantean los componentes de código abierto, que pueden estar presentes en muchos tipos diferentes de software, tanto antiguos como nuevos, en Cuando no siempre está documentado.
Espere que los atacantes continúen intentando aprovechar esta situación para su propio beneficio, como lo destaca el ataque XZ Util: Él dijo Dan Gilmore, un veterano columnista de tecnología, es profesor de práctica en la Escuela de Periodismo y Comunicación de Masas Walter Cronkite de la Universidad Estatal de Arizona.
«Aunque se descubrió antes de que se publicara ampliamente, el hecho de que un 'mal actor' enfermo pudiera inyectar código malicioso en los principales repositorios de código abierto -una posibilidad conocida- es ahora una realidad inminente», dijo Gilmore.
«Food ninja. Freelance pop culture fanatic. Wannabe zombie maven. Twitter aficionado.»
More Stories
La red social Butterflies AI añade una función que te convierte en un personaje de inteligencia artificial
Edición del vigésimo aniversario de Hautlence HLXX: redefiniendo el tiempo con minutos que retroceden y horas saltantes
Un marco para resolver ecuaciones diferenciales parciales equivalentes puede guiar el procesamiento y la ingeniería de gráficos por computadora