El viernes 29 de marzo, el empleado de Microsoft Andrés Freund compartió que había encontrado síntomas extraños en el paquete xz en instalaciones de Debian. Freund notó que el inicio de sesión de ssh estaba requiriendo mucho CPU y decidió investigar, lo que llevó al descubrimiento.
La vulnerabilidad ha recibido las máximas calificaciones de seguridad con un puntaje CVSS de 10 y una calificación de impacto crítico de seguridad del producto Red Hat.
Red Hat asignó el problema CVE-2024-3094, pero debido a la gravedad y a un error importante anterior conocido como Heartbleed, la comunidad ha nombrado jocosamente a la vulnerabilidad con un nombre más vulgar e invirtió el logo de Heartbleed.
Afortunadamente, la vulnerabilidad ha sido detectada temprano
Red Hat escribió: “Se descubrió código malicioso en las distribuciones upstream de xz, comenzando con la versión 5.6.0. A través de una serie de complejas obfuscaciones, el proceso de compilación de liblzma extrae un archivo de objeto precompilado de un archivo de prueba disfrazado que existe en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma. Esto resulta en una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca.”
La inyección maliciosa solo se puede encontrar en el paquete de descarga de la tarball de las bibliotecas de xz versiones 5.6.0 y 5.6.1. La distribución Git no incluye el M4 Macro que activa el código. Los artefactos de la segunda etapa están presentes en el repositorio Git para la inyección durante el tiempo de compilación, si el malicioso M4 macro está presente. Sin la fusión en la compilación, el archivo de la 2ª etapa es inofensivo.
Se recomienda verificar la versión de xz 5.6.0 o 5.6.1 en las siguientes distribuciones y retroceder a la versión 5.4.6. Si no puedes, debes deshabilitar los servidores SSH expuestos al público.
Más de TechRadar Pro