En las últimas fechas ha tenido lugar un ataque muy sofisticado que ha comprometido xz Utils, una popular herramienta con capacidad para comprimir y descomprimir datos en sistemas Linux y similares a Unix que se ha visto afectada por un código malicioso incrustado en esta biblioteca de código abierto.
Este reciente "hackeo", que ha llevado a la angustia al mundo open source, comprometiendo distros de Linux como Debian SID, Kali y Open Suse, entre otros, ha sido identificado como CVE-2024-3094 en la lista pública de vulnerabilidades de seguridad, contando con la puntuación CVSS de 10.0, lo que supone la máxima a nivel crítico.
Andres Freund, ingeniero alemán de Microsoft y desarrollador de PostgreSQL, fue quien alertó sobre la existencia de una puerta trasera en esta utilidad de compresión de datos (xz Utils), que se traduce en que los hackers puedan disponer de un acceso remoto para eludir autenticación segura y penetrar en los sistemas que queden afectados.
La herramienta de compresión y descompresión xz Utils está basada en algoritmo de LZMA que se encuentra por defecto en la mayoría de distribuciones de Linux, pero también contiene una librería API llamada liblzma, así como otros elementos de software. Esta librería es la que se utiliza en la cadena de suministro del servicio de conexión SSH, empleado para gestionar todos los servidores Linux a nivel mundial. Sin embargo, el impacto real que se produce en las distribuciones es más limitado y guarda distinta relación en función de cada caso.
En este supuesto, Freund se percató de un comportamiento extraño en relación a la librería liblzma tras observar que los logins con SSH estaban consumiendo muchos más recursos CPU de lo normal. Tras pensar en un primer momento que el paquete Debian había sido comprometido, el hecho resultó en que las subidas del repositorio xz Utils y los tarballs de liblzma habían sido hackeados.
Un tarball se refiere al apodo que recibe un archivo TAR. Es un formato diseñado para juntar varios archivos en uno único. Por ejemplo, se pueden componer un solo archivo TAR con los logs de otra carpeta que cuente con múltiples nombres, de manera que se simplifique la forma en la que se archive o se compartan los datos.
La importancia de esta puerta trasera en xz Utils viene dada porque se asocia una fuerte dependencia de esta herramienta, puesto que la gran mayoría de servidores en Internet están basados en Linux.
Un CVE (Common Vulnerabilitiesand Exposures) o vulnerabilidades y exposiciones comunes se relaciona a una lista pública de vulnerabilidades de seguridad, asignándose un identificador único que sigue la siguiente nomenclatura: CVE-AÑO-ID.
En lo que al CVE-2024-3094 respecta, hablamos de una criticidad de 10.0, que es lo máximo posible. Esta puntuación reconoce, por tanto, que la alerta del ingeniero alemán Andres Freund sobre la existencia de una puerta trasera en xz Utils respondía a una sofisticación máxima, ya que proporcionaba a los hackers un camino para eludir la autenticación shell segura y obtener un completo acceso a los sistemas afectados.
En definitiva, este hecho ha supuesto uno de los ataques a la cadena de suministro más significativos hasta la fecha.
Este reciente evento ha puesto de manifiesto la importancia de contar con herramientas y procesos que habiliten a una organización a identificar manipulaciones y características maliciosas en el código utilizado para el desarrollo de software, ya que las consecuencias de vulnerabilidades tan sofisticadas como el ataque a xz Utils pueden ser desastrosas.
En este sentido, Irontec presta gran atención a este tipo de eventos que estén presentes en nuestro ecosistema, ocasionando vulnerabilidades tan críticas como la del mencionado ataque a xz Utils, por su afección en las distribuciones de Linux.
Para ello, Irontec realiza una revisión de todos nuestros sistemas, tanto internos como los respectivos a nuestros clientes, con la finalidad de verificar y asegurar que este tipo de ataques no hayan afectado en los mismos, como por ejemplo en distros Debian o Ubuntu.