Encontrada una puerta trasera en una popular herramienta de compresión de Linux capaz de romper e...

Investigadores de la Open Source Security Foundation han encontrado una puerta trasera (o backdoor) en XZ Utils, una herramienta de compresión ampliamente usada en las distribuciones Linux, incluyendo las de Red Hat y Debian. El código malicioso fue introducido en las versiones 5.6.0 y 5.6.1 de XZ Utils, pero no se tiene constancia de que se hayan incorporado a ninguna versión de las principales distribuciones. Sin embargo, es posible que esté presente en versiones de prueba o experimentales. La situación podría haber sido extremadamente grave si tenemos en cuenta que Linux es un sistema ampliamente usado en los servidores de Internet.

Debido a que la puerta trasera fue detectada antes de que las versiones infectadas de XZ Utils se añadieran a las distribuciones Linux, “no está afectando realmente a nadie en el mundo real”, dice Will Dormann, analista de vulnerabilidades de la empresa de seguridad Analygence, en declaraciones a Arstechnica. Sin embargo, Dormann recuerda que esto solo se debe a que la puerta trasera se reveló de forma anticipada debido a la dejadez del malhechor. “Si no se hubiera descubierto, habría sido catastrófico para el mundo”, asegura el analista.

Según los investigadores, las versiones de XZ Utils infectadas con la puerta trasera tienen como objetivo la autenticación de SSH (Secure Shell), un protocolo cuya función principal es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. SSH también permite copiar datos de forma segura y gestionar claves RSA. SSH proporciona un cifrado seguro para garantizar que solo las partes autorizadas se conectan a un sistema remoto. La puerta trasera está diseñada para permitir a un atacante romper la autenticación y, a partir de ahí, obtener acceso no autorizado a todo el sistema.

El protocolo SSH utiliza una arquitectura cliente-servidor para establecer conexiones seguras y dada su importancia es un objetivo común para los atacantes debido a que permite tomar el control del sistema al que entran y al resto de los que están conectados a la red. Gracias a que la puerta trasera se ha detectado antes de que la versión infectada de XZ Utils llegase a las distribuciones Linux, los efectos del ataque serán inexistentes para la gente de a pie. Sin embargo, los desarrolladores Linux y los administradores de servidores posiblemente les haya entrado un escalofrío al ver lo cerca que ha pasado la bala.

Compañías como Red Hat y otros responsables de distribuciones Linux ya se han puesto manos a la obra para contener cualquier eventualidad. Paralelamente se investiga qué ha pasado y cómo ha podido alguien esconder una puerta trasera en un punto tan sensible. También cabe preguntarse si pueden existir más puertas traseras que hasta ahora no se conocen.

Según las pesquisas, las primeras pistas de la puerta trasera aparecen en una actualización del 23 de febrero que añadió código con ofuscación. El responsable de los cambios maliciosos es el usuario JiaT75, uno de los dos principales desarrolladores de XZ Utils que lleva varios años contribuyendo al proyecto. El pasado jueves alguien con ese nombre de usuario solicitó que la versión 5.6.1 de XZ Utils infectada se incorporara a Ubuntu debido a que solucionaba un error con una herramienta llamada Valgrind. Ahora se ha descubierto que el problema con Valgrind fue provocado por la puerta trasera que JiaT75 había añadido.
Ya ha sido parcheada, por lo menos en Arch.
Nada que un parche no solucione, no como en windows, que cierran una puerta, y habrán 30 [hallow].
Preveo solicitudes de parcheos masivos la semana que viene :-|
Bueno, se aplica lo básico en seguridad informática que es mantener actualizado tu sistema.
mogurito escribió:Bueno, se aplica lo básico en seguridad informática que es mantener actualizado tu sistema.


En este caso era mejor no actualizar [+risas]

Esto manifiesta lo importantes que son distribuciones como Debían que siempre van un poco desfasadas pero van mucho más sobre seguro dado que tardan más en incluir nuevos cambios, siguiendo la maxima de que si algo va bien, no lo toques.
Dartanyan escribió:
mogurito escribió:Bueno, se aplica lo básico en seguridad informática que es mantener actualizado tu sistema.


En este caso era mejor no actualizar [+risas]

Esto manifiesta lo importantes que son distribuciones como Debían que siempre van un poco desfasadas pero van mucho más sobre seguro dado que tardan más en incluir nuevos cambios, siguiendo la maxima de que si algo va bien, no lo toques.

Curioso, pues a esperar a la siguiente actualización que lo corrija. Al final por mucha seguridad que tenga algo siempre está la posibilidad de que alguien la reviente, por estas cosas siempre hay que tener cuidado extra al tratar con información sensible.
doblete escribió:Nada que un parche no solucione, no como en windows, que cierran una puerta, y habrán 30 [hallow].

Pues en este caso hay que dar gracias a un investigador de Microsoft, que es el que descubrió la puerta trasera... así que al final nunca se puede escupir hacia arriba. De hecho, me hace gracia que digas eso, cuando Microsoft es de las que más código y más reportes de seguridad aporta a Linux.

Ahora lo gracioso va a estar en investigar hasta qué punto el código introducido ha podido causar robo de información, además de comprobar todas las contribuciones realizadas y enviadas y añadidas a distintos proyectos libres y librerias de Linux aportadas por los perfiles de usuario JiaT75, Lasse Collin's y Tukaani entre otros (que no eran pocas por otra parte), que ya supuestamente ya han sido suspendidos de Github.

Al final los proyectos son un descontrol en manos de desarrolladores que en algún momento pueden ser malintencionados. De hecho, se descubren malwares en proyectos que llevaban años distribuyéndose y que nadie había descubierto, y ni los motores antivirus o anti-malwares automáticos fueron capaces de detectar a pesar de haber sido enviados para sus análisis.
En Arch y Debian, ya ha salido el parche.

Han sido rápidos.

En el trabajo, la semana que viene toca desplegar la pipeline de ansible para actualizar la granja que tenemos de más de 47K servidores 😂😂

Si es que RedHat ha sacado parche
Dios... VALGRIND... me ha salvado la vida en más de una ocasión... Pedazo de herramienta para seguir el rastro a punteros, mallocs o free alocados ... Joe que tiempos...
Y todo gracias a un ingeniero de MS que vio cómo se incrementaba el tiempo de conexión en 500ms y tiró del hilo. Olé
Sensación extraña de miedo y tranquilidad de que se encuentren y solucionen estas cosas, afortunadamente la gente se entera.

Aún más convencido de mi transición en proceso a una distro.
Y esta la han encontrado.......según dicen por la dejadez del autor.

La de scripts "durmientes" que habrá en las distros comunes que la comunidad comparte gratuitamente.

Pd: Si ni en Debían estás "secure"...... [snif]
SUGUSAPPLE escribió:Y esta la han encontrado.......según dicen por la dejadez del autor.

La de scripts "durmientes" que habrá en las distros comunes que la comunidad comparte gratuitamente.

Pd: Si ni en Debían estás "secure"...... [snif]

Sí, porque la "dejadez" del autor ha sido desarrollar el payload en JavaScript, lo que hace que tenga un mayor uso de tiempo de ejecución, que en este caso solo eran 500 milisegundos, pero lo suficiente para que un investigador de Microsoft que estaba haciendo pruebas de tiempo y aislamiento en su Sistema, se percatara de que en versiones previas esa diferencia de tiempo no existía.

Es que la gente en general piensa que por utilizar Linux o software de código libre va a estar a salvo de tener problemas de seguridad, y esto no tiene porque ser así. Ya han existido otros casos de proyectos libres en Github con código malicioso que llevaban años distribuyéndose.

Al final el dejar que cualquiera que haya aportado algo de código, o que se esté "identificando (firmando)" para realizar los cambios como otra cuenta que aporta código al proyecto (que esta es otra circunstancia que ha ocurrido en este caso), y que tenga vía libre para que otro tercero no revise nada, pues es lo que tiene.

La seguridad no existe, siempre hay alguien dispuesto a buscar la forma de poner patas arriba todo para obtener algún beneficio.

Ahora el problema va a estar en como tu bien dices, revisar a todos los usuarios sospechosos que han estado modificando código de Linux y de otros proyectos de software libre, porque esto llevará su tiempo.
A ese ingeniero de MS hay que subirle el sueldo [jaja]
XYOS6 escribió:A ese ingeniero de MS hay que subirle el sueldo [jaja]


Si,por encontrar fallos en código Linux....cuando llevan décadas metiendo mierda en sus putos Windows..... Y no parcheando bien sus sistemas,mira por ejemplo back orificce 25 años de aquel troyano y los ventanas desde win95-98,fallando uno tras otro....incluyendo Windows 2000 y xp.

Microsoft .....no es una ONG,y cuando hace donaciones lo hace por beneficiarse económicamente.......y con Linux idem para poder seguir metiendo sus mierdas en los servidores..que ahi Linux le está comiendo la tostada.
doblete escribió: y habrán 30 [hallow].


habrá 30. el sudamericano nos come [decaio]
Es triste ver gente peleandose por si la plei o la xbox es mejor.
Es lamentable ver gente defendiendo con hasta su ultima lagrima su sistema operativo y tirando mierda al otro
Lo que hizo ese desarrollador, que llevaba dos años colaborando... O era un plan a largo plazo o alguien o algo le habrá pagado para hacer esto.

Da para documental.
De haber sido distribuido el backdoor.. habria acabado con medio internet.
Enanon escribió:
doblete escribió: y habrán 30 [hallow].


habrá 30. el sudamericano nos come [decaio]


Este comentario es un insulto, pero sin ser un insulto ¬_¬.
doblete escribió:
Enanon escribió:
doblete escribió: y habrán 30 [hallow].


habrá 30. el sudamericano nos come [decaio]


Este comentario es un insulto, pero sin ser un insulto ¬_¬.


me trae por la calle de la amargura que ya hasta lo he oido el otro dia en las noticias, "habran muchos coches en la carretera", casi me pego un tiro [carcajad]

que pena que @Tony Skyrunner ya no este entre nosotros, le gustaria este tema
Dartanyan escribió:
mogurito escribió:Bueno, se aplica lo básico en seguridad informática que es mantener actualizado tu sistema.


En este caso era mejor no actualizar [+risas]

Esto manifiesta lo importantes que son distribuciones como Debían que siempre van un poco desfasadas pero van mucho más sobre seguro dado que tardan más en incluir nuevos cambios, siguiendo la maxima de que si algo va bien, no lo toques.

Claro que si, viva debian y la estabilidad, estar a ña ultima es tonteria
albion_land escribió:Lo que hizo ese desarrollador, que llevaba dos años colaborando... O era un plan a largo plazo o alguien o algo le habrá pagado para hacer esto.

Da para documental.


En reddit apuntan a la dirección de que era algo planeado en cuentas que aportaban para generar confianza pues no hay indicios de que sus cuentas hayan sido comprometidas :(
Wence-Kun escribió:
albion_land escribió:Lo que hizo ese desarrollador, que llevaba dos años colaborando... O era un plan a largo plazo o alguien o algo le habrá pagado para hacer esto.

Da para documental.


En reddit apuntan a la dirección de que era algo planeado en cuentas que aportaban para generar confianza pues no hay indicios de que sus cuentas hayan sido comprometidas :(


Puedes poner un enlace donde discuten eso? Me interesaría leer un poco sobre eso (por los chismes XD pero también por si hay algún aporte interesante). Gracias.
Wence-Kun escribió:
albion_land escribió:Lo que hizo ese desarrollador, que llevaba dos años colaborando... O era un plan a largo plazo o alguien o algo le habrá pagado para hacer esto.

Da para documental.


En reddit apuntan a la dirección de que era algo planeado en cuentas que aportaban para generar confianza pues no hay indicios de que sus cuentas hayan sido comprometidas :(


El desarrollador principal ya dijo que sus builds no tenían este backdoor, solamente las del otro colaborador. Pero se hacían publicas igual
Está noticia parece de salvame Deluxe macho

La fuente original del developer no tiene nada, eran de otras fuentes, dudo mucho que ningún administrador instale paquetes de fuentes de terceros
berny6969 escribió:Está noticia parece de salvame Deluxe macho

La fuente original del developer no tiene nada, eran de otras fuentes, dudo mucho que ningún administrador instale paquetes de fuentes de terceros

Te sorprendería las cosas que veo en mi trabajo, y ojo no son proyectos de pequeñas empresas, administración pública, energía...

Paquetes instalados en lugar de tirar de un paquete oficial, aunque sea una imagen de docker, tiran de un paquete de un random que hace años ni lo actualizan...

Luego llegas tú al proyecto, te llevas las manos a la cabeza al ver eso en el código de puppet, por ejemplo, es donde mayor le encontrado esas cosas, en terraform no tanto, comentas eso en una reunión y encima te ponen el sello de exagerado y paranoico.

O usar versiones ya obsoletas para despegar un cluster Kubernetes, encima a sabiendas... van ahora por la 1.29, y donde estoy tienen una gran mayoría de clústers que están en la 1.13 🤦🏻‍♂️, luego que si pasan cosas.

La seguridad informática en España, es una tarea aún pendiente. En mis 20 años de experiencia, pocas, contadas con una mano, se han tomado en serio ese tema al milímetro, las puedo contar con una mano, y me sobran dedos.
Voy a mostrar una distracción para colar otra nueva!





*usando Linux desde hace 20 años
29 respuestas