XZ Utils es una herramienta de compresión de datos presente en casi todas las distribuciones de Linux, que sirve para comprimir formatos de archivos grandes en tamaños más pequeños y manejables para ser compartidos. Se encontró un backdoor en las librerías XZ Utils mediante el cual los atacantes podrían vulnerar el protocolo SSH y tomar control del sistema.
- CVE-2024-3094 (CVSS: 10): se detectó código malicioso en los archivos comprimidos de XZ. El proceso de compilación de liblzma extrae un archivo objeto prediseñado de un archivo de prueba disfrazado existente en el código fuente, que luego se usa para modificar funciones específicas en el código de liblzma. Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca.
La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas y sshd es el servicio que permite el acceso.
En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota.
En las investigaciones realizadas muestran que los paquetes solo están presentes en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux y SUSE Linux Enterprise y Leap.
Versiones afectadas:
- Versiones 5.6.0 y 5.6.1 de las librerías XZ.
Solución:
Verificar si el sistema está ejecutando la versión afectada y realizar un downgrade a XZ previas como 5.4.6 o deshabilitar directamente ssh por el momento.
Recomendaciones:
- Revisar la versión actual de la herramienta XZ Utils para evitar posibles incidentes de seguridad con las versiones afectadas.
- Revisar el aprovisionamiento a nivel de actualizaciones debido a que este upgrade puede impactar de manera negativa la correcta operación de otros servicios.
- Realizar una suspensión temporal de ssh hasta validar la versión de XS Utils y tomar las medidas al respecto acorde a lo reportado en los puntos anteriores.
Referencias:
- https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros/
- https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html
- https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/
- https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html
- https://lists.debian.org/debian-security-announce/2024/msg00057.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-3094