Investigadores de la Open Source Security Foundation han encontrado una puerta trasera (o backdoor) en XZ Utils, una herramienta de compresión ampliamente usada en las distribuciones Linux, incluyendo las de Red Hat y Debian. El código malicioso fue introducido en las versiones 5.6.0 y 5.6.1 de XZ Utils, pero no se tiene constancia de que se hayan incorporado a ninguna versión de las principales distribuciones. Sin embargo, es posible que esté presente en versiones de prueba o experimentales. La situación podría haber sido extremadamente grave si tenemos en cuenta que Linux es un sistema ampliamente usado en los servidores de Internet.
Debido a que la puerta trasera fue detectada antes de que las versiones infectadas de XZ Utils se añadieran a las distribuciones Linux, “no está afectando realmente a nadie en el mundo real”, dice Will Dormann, analista de vulnerabilidades de la empresa de seguridad Analygence, en declaraciones a Arstechnica. Sin embargo, Dormann recuerda que esto solo se debe a que la puerta trasera se reveló de forma anticipada debido a la dejadez del malhechor. “Si no se hubiera descubierto, habría sido catastrófico para el mundo”, asegura el analista.
Según los investigadores, las versiones de XZ Utils infectadas con la puerta trasera tienen como objetivo la autenticación de SSH (Secure Shell), un protocolo cuya función principal es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. SSH también permite copiar datos de forma segura y gestionar claves RSA. SSH proporciona un cifrado seguro para garantizar que solo las partes autorizadas se conectan a un sistema remoto. La puerta trasera está diseñada para permitir a un atacante romper la autenticación y, a partir de ahí, obtener acceso no autorizado a todo el sistema.
El protocolo SSH utiliza una arquitectura cliente-servidor para establecer conexiones seguras y dada su importancia es un objetivo común para los atacantes debido a que permite tomar el control del sistema al que entran y al resto de los que están conectados a la red. Gracias a que la puerta trasera se ha detectado antes de que la versión infectada de XZ Utils llegase a las distribuciones Linux, los efectos del ataque serán inexistentes para la gente de a pie. Sin embargo, los desarrolladores Linux y los administradores de servidores posiblemente les haya entrado un escalofrío al ver lo cerca que ha pasado la bala.
Compañías como Red Hat y otros responsables de distribuciones Linux ya se han puesto manos a la obra para contener cualquier eventualidad. Paralelamente se investiga qué ha pasado y cómo ha podido alguien esconder una puerta trasera en un punto tan sensible. También cabe preguntarse si pueden existir más puertas traseras que hasta ahora no se conocen.
Según las pesquisas, las primeras pistas de la puerta trasera aparecen en una actualización del 23 de febrero que añadió código con ofuscación. El responsable de los cambios maliciosos es el usuario JiaT75, uno de los dos principales desarrolladores de XZ Utils que lleva varios años contribuyendo al proyecto. El pasado jueves alguien con ese nombre de usuario solicitó que la versión 5.6.1 de XZ Utils infectada se incorporara a Ubuntu debido a que solucionaba un error con una herramienta llamada Valgrind. Ahora se ha descubierto que el problema con Valgrind fue provocado por la puerta trasera que JiaT75 había añadido.
Debido a que la puerta trasera fue detectada antes de que las versiones infectadas de XZ Utils se añadieran a las distribuciones Linux, “no está afectando realmente a nadie en el mundo real”, dice Will Dormann, analista de vulnerabilidades de la empresa de seguridad Analygence, en declaraciones a Arstechnica. Sin embargo, Dormann recuerda que esto solo se debe a que la puerta trasera se reveló de forma anticipada debido a la dejadez del malhechor. “Si no se hubiera descubierto, habría sido catastrófico para el mundo”, asegura el analista.
Según los investigadores, las versiones de XZ Utils infectadas con la puerta trasera tienen como objetivo la autenticación de SSH (Secure Shell), un protocolo cuya función principal es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada. SSH también permite copiar datos de forma segura y gestionar claves RSA. SSH proporciona un cifrado seguro para garantizar que solo las partes autorizadas se conectan a un sistema remoto. La puerta trasera está diseñada para permitir a un atacante romper la autenticación y, a partir de ahí, obtener acceso no autorizado a todo el sistema.
El protocolo SSH utiliza una arquitectura cliente-servidor para establecer conexiones seguras y dada su importancia es un objetivo común para los atacantes debido a que permite tomar el control del sistema al que entran y al resto de los que están conectados a la red. Gracias a que la puerta trasera se ha detectado antes de que la versión infectada de XZ Utils llegase a las distribuciones Linux, los efectos del ataque serán inexistentes para la gente de a pie. Sin embargo, los desarrolladores Linux y los administradores de servidores posiblemente les haya entrado un escalofrío al ver lo cerca que ha pasado la bala.
Compañías como Red Hat y otros responsables de distribuciones Linux ya se han puesto manos a la obra para contener cualquier eventualidad. Paralelamente se investiga qué ha pasado y cómo ha podido alguien esconder una puerta trasera en un punto tan sensible. También cabe preguntarse si pueden existir más puertas traseras que hasta ahora no se conocen.
Según las pesquisas, las primeras pistas de la puerta trasera aparecen en una actualización del 23 de febrero que añadió código con ofuscación. El responsable de los cambios maliciosos es el usuario JiaT75, uno de los dos principales desarrolladores de XZ Utils que lleva varios años contribuyendo al proyecto. El pasado jueves alguien con ese nombre de usuario solicitó que la versión 5.6.1 de XZ Utils infectada se incorporara a Ubuntu debido a que solucionaba un error con una herramienta llamada Valgrind. Ahora se ha descubierto que el problema con Valgrind fue provocado por la puerta trasera que JiaT75 había añadido.
En este caso era mejor no actualizar [+risas]
Esto manifiesta lo importantes que son distribuciones como Debían que siempre van un poco desfasadas pero van mucho más sobre seguro dado que tardan más en incluir nuevos cambios, siguiendo la maxima de que si algo va bien, no lo toques.
Curioso, pues a esperar a la siguiente actualización que lo corrija. Al final por mucha seguridad que tenga algo siempre está la posibilidad de que alguien la reviente, por estas cosas siempre hay que tener cuidado extra al tratar con información sensible.
Pues en este caso hay que dar gracias a un investigador de Microsoft, que es el que descubrió la puerta trasera... así que al final nunca se puede escupir hacia arriba. De hecho, me hace gracia que digas eso, cuando Microsoft es de las que más código y más reportes de seguridad aporta a Linux.
Ahora lo gracioso va a estar en investigar hasta qué punto el código introducido ha podido causar robo de información, además de comprobar todas las contribuciones realizadas y enviadas y añadidas a distintos proyectos libres y librerias de Linux aportadas por los perfiles de usuario JiaT75, Lasse Collin's y Tukaani entre otros (que no eran pocas por otra parte), que ya supuestamente ya han sido suspendidos de Github.
Al final los proyectos son un descontrol en manos de desarrolladores que en algún momento pueden ser malintencionados. De hecho, se descubren malwares en proyectos que llevaban años distribuyéndose y que nadie había descubierto, y ni los motores antivirus o anti-malwares automáticos fueron capaces de detectar a pesar de haber sido enviados para sus análisis.
Han sido rápidos.
En el trabajo, la semana que viene toca desplegar la pipeline de ansible para actualizar la granja que tenemos de más de 47K servidores 😂😂
Si es que RedHat ha sacado parche