Un hacker está metiendo código malicioso a una Librería de Linux desde hace 2 años

Posted on por

Se ha descubierto una vulnerabilidad crítica en las herramientas de compresión XZ, que permite el acceso remoto a través de inicios de sesión remotos SSH. Las distribuciones Linux Rolling Release están particularmente afectadas, ya hay una actualización disponible.Backdoor (GNU/Linux)

Debido a un uso inusualmente elevado de la CPU y a mensajes de error al utilizar el inicio de sesión remoto a través de SSH, el desarrollador de software Andreas Freund se percató de la existencia de un enorme agujero de seguridad en su instalación de Debian SID. El desarrollador pudo identificar la causa como XZ-Tools, una colección de herramientas de compresión incluidas en muchas distribuciones de Linux y utilizadas por SSH.

La vulnerabilidad, denominada CVE-2024-3094, permite el acceso remoto no autorizado a los sistemas Linux afectados. Las versiones afectadas por la puerta trasera son las utilidades XZ y la biblioteca liblmza asociada en las versiones 5.6.0 desde finales de febrero y 5.6.1 desde el 9 de marzo. Estas versiones XZ comprometidas, introducidas por uno de los propios desarrolladores de XZ, eluden la autenticación SSH, lo que permite a los atacantes hacerse con el control remoto total del sistema.

El desarrollador de software Andreas Freund escribe sobre su descubrimiento de la vulnerabilidad: «Tras observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones Debian sid durante las últimas semanas (inicios de sesión con ssh que consumían mucha CPU, errores de valgrind) descubrí la respuesta: El repositorio upstream xz y los tarballs xz han sido retrocedidos. Al principio pensé que se trataba de un compromiso del paquete de Debian, pero resulta que es upstream».

El código backdoor sólo estaba parcialmente oculto en el código fuente abierto en GitHub, y el propio GitHub ha suspendido la cuenta de XZ Utilities por el momento. Las distribuciones de Linux afectadas, para las que ya hay actualizaciones disponibles, a excepción de Fedora Rawhide, son:

  • Debian Testing, Inestable y Experimental.
  • Fedora Rawhide.
  • Arch Linux.
  • openSUSE Tumbleweed.

Distribuciones como Debian Stable, Fedora 39, openSUSE Leap o Red Hat Enterprise Linux (RHEL) no están afectadas por la vulnerabilidad en XZ Utilities. Si utiliza una de las distribuciones de Linux mencionadas, puede comprobar el número de versión de XZ Utilities en la consola con xz -version. Lo ideal es realizar una nueva instalación, especialmente si el acceso SSH está habilitado en el sistema Linux.

Fuente: Notebookcheck.