Backdoor en XZ pone en riesgo a millones de usuarios de Linux

Un backdoor, o puerta trasera, descubierto en la popular herramienta de compresión de datos XZ ha puesto en riesgo a millones de usuarios de Linux en todo el mundo. La vulnerabilidad, presente en las versiones 5.6.0 y 5.6.1 de XZ, permitiría a los atacantes ejecutar código arbitrario en sistemas vulnerables, obtener acceso root y robar datos sensibles.

"Dependency", Autor: xkcd.

La historia del descubrimiento del backdoor en XZ comienza en la madrugada del 29 de marzo, cuando Andres Freund, desarrollador de Microsoft con sede en San Francisco, publicó en Mastodon y envió un correo electrónico a la lista de correo de seguridad de OpenWall con el título: "backdoor en xz/liblzma upstream que conduce a un compromiso del servidor ssh"(“backdoor in upstream xz/liblzma leading to ssh server compromise.”)

Freund, quien trabaja como voluntario como "mantenedor" de PostgreSQL, una base de datos basada en Linux, notó algunas cosas extrañas durante las últimas semanas mientras ejecutaba pruebas. Los inicios de sesión encriptados en liblzma, parte de la biblioteca de compresión XZ, estaban consumiendo mucho mas ciclos de CPU de lo habitual. Ninguna de las herramientas de rendimiento que usó reveló nada, escribió Freund en Mastodon. Esto inmediatamente lo hizo sospechar, y recordó una "queja extraña" de un usuario de Postgres hace un par de semanas sobre Valgrind, el programa de Linux que verifica los errores de memoria.

Después de investigar un poco, Freund finalmente descubrió qué estaba mal. "El repositorio xz ascendente y los tarballs xz han sido hackeados", señaló Freund en su correo electrónico. El código malicioso estaba en las versiones 5.6.0 y 5.6.1 de las herramientas y bibliotecas xz.

Poco después, la empresa de software de código abierto empresarial Red Hat envió una alerta de seguridad de emergencia para los usuarios de Fedora Rawhide y Fedora Linux 40. Finalmente, la compañía concluyó que la versión beta de Fedora Linux 40 contenía dos versiones afectadas de las bibliotecas xz. Las versiones de Fedora Rawhide probablemente también recibieron las versiones 5.6.0 o 5.6.1.

Autor: Thomas Roccia en X.com

Las distribuciones de Linux más populares, como Ubuntu, Debian, Fedora y Red Hat, se vieron afectadas por la vulnerabilidad. Los desarrolladores de XZ lanzaron la versión 5.6.2 para solucionar el problema. Se recomienda a todos los usuarios de Linux actualizar a la última versión de XZ lo antes posible y reiniciar su sistema después de la actualización.

El impacto de este backdoor podría haber sido devastador. Si los atacantes hubieran explotado la vulnerabilidad, podrían haber obtenido acceso a una gran cantidad de sistemas Linux, robado datos sensibles e incluso causado daños a la infraestructura crítica.

XZ Utils es casi omnipresente en Linux. Proporciona compresión de datos sin pérdida en prácticamente todos los sistemas operativos similares a Unix, incluido Linux. XZ Utils proporciona funciones críticas para comprimir y descomprimir datos durante todo tipo de operaciones. Además, XZ Utils admite el formato heredado .lzma, lo que hace que este componente sea aún más crucial.

Referencia 1

Referencia 2

Thomas Roccia en X.com