EL Computadoras Linux simplemente escaparon de un potencial peligro que habría comprometido su seguridad, pero esta no es la historia habitual de uno vulnerabilidad correcto (¿sabes cómo instalar Linux en Windows?).

No, esta vez un piratas informáticos quien fingió ser voluntario durante 2 años para mantener una componente del sistema operativo y un voluntario Es cierto que descubrió el problema por casualidad. Averigüemos cómo y qué habría implicado, pero sobre todo riesgos de un sistema extremadamente vulnerable, que no invierte en el trabajo en el que se basan servidor de los gigantes de la Web.

Qué pasó

El ataque

El 29 de marzo se descubrió un ataque al sistema Linux que inyectaba código malicioso en el paquete. XZ. Este código modifica las funciones dentro liblzma, que es una biblioteca de compresión de datos que forma parte del paquete XZ Utilidad y es una parte central de varias distribuciones importantes de Linux.

El paquete XZ Utilidad Es un pequeño proyecto de código abierto mantenido de forma gratuita por un desarrollador desde al menos 2009, pero es enormemente importante.

Al inyectar este código malicioso, el hacker abrió un Puerta trasera que podría haber sido utilizado por cualquier software conectado a la biblioteca XZ y permitir la interceptación y modificación de los datos utilizados con el estante para libros. En determinadas condiciones, esta puerta trasera podría permitir una actor malicioso interrumpir autenticación sshdpermitiendo que un agente atacante acceda al sistema afectado.

Estamos hablando de potencialmente todos. computadora Y servidor ejecutando Linux en todo el mundo.

Microsoft advirtió sobre la vulnerabilidad en las distribuciones de Linux afectadas, que incluyen las versiones del paquete XZ Utils 5.6.0 y 5.6.1, y el Índice de paquetes de Python (PuPI) ha restringido la creación de nuevas cuentas y el envío de paquetes a su portal.

El nivel más alto de gravedad.

Marcado como CVE-2024-3094el exploit recibió una puntuación de vulnerabilidad (CVSS) de 10,0, que es la clasificación de amenaza más alta posible ofrecida por el Instituto Nacional de Estándares y Tecnología (NIST).

Para dar una idea de la gravedad, como escribe Ben Thompson en Stratechery: «la mayoría de las computadoras del mundo serían vulnerables y nadie lo sabría».

Y nuevamente, Will Dormann, analista senior de vulnerabilidades de la empresa de seguridad. análisis, Le dijo a Ars Technica: «Si no se hubiera descubierto, habría sido catastrófico para el mundo».

La increíble historia de la vulnerabilidad: cómo se descubrió

El descubrimiento de esta vulnerabilidad da una idea de lo frágil que es el mundo de Linux. 29 de marzo Andrés Freundun desarrollador de Microsoft que también es voluntario en PostgreSQL, está realizando una microevaluación de rutina cuando nota un pequeño retraso en 600 ms conmigo procesos ssh. Estos utilizan una cantidad sorprendente de CPU incluso si fallan inmediatamente.

Inmediatamente sospecha y recuerda que unas semanas antes Había notado una «queja extraña» de un usuario de Postgres sobre Valgrind, el programa de Linux que busca errores de memoria.

Después de investigar, freund finalmente descubre el problema y publica su descubrimiento en el Lista de correo de seguridad de código abierto con el título «Se ha abierto una puerta trasera en el repositorio xz y el tarball xz».

freund Luego publica una publicación en Mastodon, en la que revela cuán absolutamente fue el descubrimiento. aleatorio: “Realmente requirió muchas coincidencias”.

Un ataque planeado desde hace dos años y puede que no termine

Allá comunidad Luego trató de entender qué había pasado y resultó que el responsable él era un desarrollador que se había hecho cargo de la proyecto xz.

Como hemos visto, XZ es mantenido por un único desarrollador, Lasse Collin. En 2021 JiaT75Jia Tan, comienza a enviar contribuciones al proyecto y luego dos desarrolladores, probablemente ficticios, Kumar Y Además, empiezan a quejarse de los pocos avances en el desarrollo.

Collins se disculpa diciendo que tiene problemas salud mental y, ante la insistencia de Kumar y Ens, confía primero a JiaT75 un papel más importante y en 2022 el mantenimiento del proyecto.

Durante dos años Jia Tan trabajar en el paquete XZ, luego inyectar el código malicioso para abrir la puerta trasera. Pero dado el esfuerzo y los recursos involucrados, muchos en la Web especulan que el autor del código malicioso es un atacante sofisticado, posiblemente afiliado a una agencia estatal.

La situación aún se está desarrollando y es posible que se descubra más. vulnerabilidad.

El problema de los mantenedores

El accidente y sus posibilidades. consecuencias son un ejemplo tanto de la belleza del código abierto como de su vulnerabilidad. En la práctica, muchos sistemas que alimentan los servidores de organizaciones multimillonarias son mantenidos de forma gratuita por voluntarios.

Un desarrollador detrás FFmpeg, un popular paquete de medios de código abierto, destacó el problema en Xdiciendo que le había pedido soporte a Microsoft para mantener el proyecto, pero le ofrecieron unos cuantos miles de dólares.

Estas inversiones no se consideran tentador, aunque probablemente si ellos pagarían miles de veces a lo largo del tiempo. Los detalles de este ataque se descubrieron sin el apoyo financiero directo de muchas de las empresas y organizaciones que se benefician de estas bibliotecas.

¿Mi computadora está comprometida?

¿Qué distribuciones se ven afectadas? Digamos de inmediato que las versiones estables de Debian Linux (como Ubuntu) es seguro, pero las versiones de prueba, inestables y experimentales requieren actualizaciones de xz-utils debido a paquetes comprometidos.

sombrero rojo paquetes vulnerables identificados en sombrero 41 Y Fedora de cuero crudopero no en Red Hat Enterprise Linux (RHEL), y desaconsejó su uso hasta que haya una actualización disponible.

SUSE ha publicado actualizaciones para openSUSE (Tumbleweed o MicroOS). los usuarios de KaliLinux quienes actualizaron su sistema entre el 26 y el 29 de marzo deben actualizar nuevamente por un corrección, mientras que los que actualizaron antes 26 Marzo no se ve afectado por esta vulnerabilidad.

Recordamos que el paquete en riesgo es XZ Utils, versiones 5.6.0 y 5.6.1, pero ¿cómo sabemos si nuestro ordenador está afectado? Sencillo, puedes averiguar la versión de XZ Utilidad ejecutando el comando en SSH:

xz –versión

Dada la complejidad del sistema implementado, parece que esta amenaza no está dirigida específicamente a los usuarios. usuarios, como para empresas u organizaciones. Allá Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) recomendó que las organizaciones realicen la degradar a versiones anteriores de XZ Utilidad.

Continuar leyendo: Un voluntario descubrió una puerta trasera que comprometería los sistemas Linux en todo el mundo