Ampliar / Puerta trasera en Internet en una secuencia de código binario en forma de ojo.
Getty Images
Los investigadores han encontrado una puerta trasera maliciosa en una herramienta de compresión que se introdujo en las distribuciones de Linux ampliamente utilizadas, incluidas aquellas de Red Hat y Debian.
La utilidad de compresión, conocida como xz Utils, introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, según Andrés Freund, el desarrollador que lo descubrió. No hay informes conocidos de que esas versiones se hayan incorporado en ninguna versión de producción para las principales distribuciones de Linux, pero tanto Red Hat como Debian informaron que las versiones beta recientemente publicadas usaron al menos una de las versiones con puerta trasera, específicamente en Fedora Rawhide y Debian testing, unstable y distribuciones experimentales. Una versión estable de Arch Linux también se ve afectada. Sin embargo, esa distribución no se utiliza en sistemas de producción.
Debido a que la puerta trasera fue descubierta antes de que se agregaran las versiones maliciosas de xz Utils a las versiones de producción de Linux, “realmente no está afectando a nadie en el mundo real”, Will Dormann, un analista sénior de vulnerabilidad en la firma de seguridad Analygence, dijo en una entrevista en línea. “PERO eso es solo porque se descubrió temprano debido al descuido del actor malintencionado. Si no se hubiera descubierto, habría sido catastrófico para el mundo”.
Varias personas, incluidos dos lectores de Ars, informaron que varias aplicaciones incluidas en el administrador de paquetes HomeBrew para macOS dependen de la versión 5.6.1 con puerta trasera de xz Utils. HomeBrew ha retrocedido la utilidad a la versión 5.4.6. Los mantenedores tienen más detalles disponibles aquí.
Apuntando a sshd
Los primeros signos de la puerta trasera se introdujeron en una actualización del 23 de febrero que agregó código ofuscado, dijeron funcionarios de Red Hat en un correo electrónico. Una actualización al día siguiente incluyó un script de instalación malicioso que se inyectó en las funciones utilizadas por sshd, el archivo binario que hace funcionar SSH. El código malicioso reside solo en las versiones archivadas, conocidas como tarballs, que se lanzan aguas arriba. El denominado código de GIT disponible en los repositorios no se ve afectado, aunque contienen artefactos de segunda etapa que permiten la inyección durante el tiempo de compilación. En caso de que el código ofuscado introducido el 23 de febrero esté presente, los artefactos en la versión GIT permiten que la puerta trasera funcione.
Los cambios maliciosos fueron presentados por JiaT75, uno de los dos desarrolladores principales de xz Utils con años de contribuciones al proyecto.