Un análisis reciente ha revelado que el código malicioso incrustado en la biblioteca de código abierto ampliamente utilizada XZ Utils (presente en múltiples distribuciones de Linux) puede habilitar ejecución remota de código. El escenario del ataque se basa en la vulnerabilidad crítica CVE-2024-3094.
CVE-2024-3094 Explicado
Este compromiso, identificado como CVE-2024-3094 con una puntuación CVSS de 10.0, fue sacado a la luz por el ingeniero de Microsoft y desarrollador de PostgreSQL Andrés Freund. Freund notó un uso inusualmente alto de CPU por parte de los procesos sshd durante la evaluación comparativa del sistema, lo que llevó al descubrimiento de una puerta trasera en la utilidad de compresión de datos XZ Utils. Esta puerta trasera hace posible que atacantes remotos eludan la autenticación de shell segura y obtengan acceso completo a los sistemas afectados..
El código de puerta trasera malicioso fue introducido intencionalmente por uno de los mantenedores del proyecto., Jia Tan (también conocido como Jia Cheong Tan o JiaT75), en un ataque planificado que duró varios años. El GitHub La cuenta asociada con esta actividad fue creada en 2021, pero la identidad del actor(s) sigue siendo desconocido. Según los informes, El actor de amenazas ganó credibilidad dentro del proyecto XZ durante casi dos años antes de que se le concedieran responsabilidades de mantenimiento..
El atacante utilizó cuentas de sockpuppet, como Jigar Kumar y Dennis Ens, para enviar solicitudes de funciones e informar problemas., presionando al mantenedor original, Lasse Collin del Proyecto Tukaani, para agregar un nuevo co-mantenedor al repositorio. Jia Tan introdujo cambios en XZ Utils en 2023, conduciendo al lanzamiento de la versión 5.6.0 en febrero 2024, que incluía una sofisticada puerta trasera.
Collin reconoció la infracción y confirmó que los archivos comprimidos de lanzamiento comprometidos fueron creados y firmados por Jia Tan., quién tenía acceso al repositorio de GitHub ahora deshabilitado. Este ataque a la cadena de suministro demuestra una considerable sofisticación y una planificación plurianual., probablemente indicativo de actividad patrocinada por el estado.
Un análisis más profundo de la puerta trasera reveló que atacantes remotos específicos pueden enviar cargas útiles arbitrarias a través de un certificado SSH., permitiéndoles ejecutar comandos y obtener control sobre la máquina víctima. Esta puerta trasera representa un riesgo significativo para las máquinas con paquetes vulnerables de XZ Utils expuestos a Internet..
El descubrimiento accidental de la puerta trasera por parte de Freund pone de relieve la gravedad de este ataque a la cadena de suministro, lo que podría haber dado lugar a un incidente de seguridad importante si se hubiera integrado en versiones estables de distribuciones de Linux. Este incidente subraya la importancia de adoptar herramientas y procesos para identificar manipulaciones y características maliciosas tanto en software comercial como de código abierto..