Investigadores de la Open Source Security Foundation han encontrado una puerta trasera (o backdoor) en XZ Utils, una herramienta de compresión ampliamente usada en las distribuciones Linux, incluyendo las de Red Hat y Debian. El código malicioso fue introducido en las versiones 5.6.0 y 5.6.1 de XZ Utils, pero no se tiene constancia de que se hayan incorporado a ninguna versión de las principales distribuciones. Sin embargo, es posible que esté presente en versiones de prueba o experimentales. La situación podría haber sido extremadamente grave si tenemos en cuenta que Linux es un sistema ampliamente usado en los servidores de Internet.
Debido a que la puerta trasera fue detectada antes de que las versiones infectadas de XZ Utils se añadieran a las distribuciones Linux, “no está afectando realmente a nadie en el mundo real”, dice Will Dormann, analista de vulnerabilidades de la empresa de seguridad Analygence, en declaraciones a Arstechnica. Sin embargo, Dormann recuerda que esto solo se debe a que la puerta trasera se reveló de forma anticipada debido a la dejadez del malhechor. “Si no se hubiera descubierto, habría sido catastrófico para el mundo”, asegura el analista.
Según los investigadores, las versiones de XZ Utils infectadas con la puerta trasera tienen como objetivo la autenticación de SSH (Secure Shell), un protocolo cuya función principal es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. SSH también permite copiar datos de forma segura y gestionar claves RSA. SSH proporciona un cifrado seguro para garantizar que solo las partes autorizadas se conectan a un sistema remoto. La puerta trasera está diseñada para permitir a un atacante romper la autenticación y, a partir de ahí, obtener acceso no autorizado a todo el sistema.
El protocolo SSH utiliza una arquitectura cliente-servidor para establecer conexiones seguras y dada su importancia es un objetivo común para los atacantes debido a que permite tomar el control del sistema al que entran y al resto de los que están conectados a la red. Gracias a que la puerta trasera se ha detectado antes de que la versión infectada de XZ Utils llegase a las distribuciones Linux, los efectos del ataque serán inexistentes para la gente de a pie. Sin embargo, los desarrolladores Linux y los administradores de servidores posiblemente les haya entrado un escalofrío al ver lo cerca que ha pasado la bala.
Compañías como Red Hat y otros responsables de distribuciones Linux ya se han puesto manos a la obra para contener cualquier eventualidad. Paralelamente se investiga qué ha pasado y cómo ha podido alguien esconder una puerta trasera en un punto tan sensible. También cabe preguntarse si pueden existir más puertas traseras que hasta ahora no se conocen.
Según las pesquisas, las primeras pistas de la puerta trasera aparecen en una actualización del 23 de febrero que añadió código con ofuscación. El responsable de los cambios maliciosos es el usuario JiaT75, uno de los dos principales desarrolladores de XZ Utils que lleva varios años contribuyendo al proyecto. El pasado jueves alguien con ese nombre de usuario solicitó que la versión 5.6.1 de XZ Utils infectada se incorporara a Ubuntu debido a que solucionaba un error con una herramienta llamada Valgrind. Ahora se ha descubierto que el problema con Valgrind fue provocado por la puerta trasera que JiaT75 había añadido.
