Red Hat ha lanzado una “alerta de seguridad urgente” advirtiendo sobre un ataque detectado en dos versiones de la popular biblioteca de compresión de datos XZ Utils (anteriormente conocida como LZMA Utils).
Detalles del ataque CVE-2024-3094
Este ataque, identificado como CVE-2024-3094, ha sido catalogado con la puntuación CVSS más alta posible, 10,0, indicando una amenaza de máxima gravedad. El Common Vulnerability Scoring System (CVSS) se utiliza para valorar la gravedad y el riesgo de seguridad del sistema utilizando una escala del 0 al 10. Las versiones afectadas son la 5.6.0 (publicada el 24 de febrero) y la 5.6.1 (publicada el 9 de marzo) de XZ Utils.
Según declaraciones de la filial de IBM, el proceso de compilación de liblzma extrae un archivo de objetos precompilados de un archivo de prueba camuflado en el código fuente. Permitiendo así la modificación de funciones específicas en el código liblzma. Esto resulta en una librería modificada que puede ser utilizada por cualquier software enlazado, lo que facilita la interceptación y modificación de la interacción de datos con dicha librería.
Específicamente, el código malicioso busca interferir con el proceso sshd daemon para SSH (Secure Shell) a través de la suite de software systemd, permitiendo potencialmente a un atacante romper la autenticación sshd y obtener acceso no autorizado al sistema de forma remota.
Origen y respuesta
El investigador de seguridad de Microsoft, Andres Freund, recibió acreditación por descubrir y reportar este problema. El código malicioso fue introducido por un usuario llamado Jia Tan (JiaT75) en una serie de commits del proyecto Tukaani en GitHub. En respuesta, GitHub ha desactivado el repositorio XZ Utils del Proyecto Tukaani debido a una violación de los términos de servicio.
No hay informes de explotación activa en la naturaleza. Pero se recomienda a los usuarios de Fedora Linux 40 actualizar a la versión 5.4 de XZ Utils. Otras distribuciones afectadas incluyen Arch Linux, Kali Linux, openSUSE Tumbleweed y MicroOS, y versiones de prueba, inestables y experimentales de Debian.
Recomendaciones de seguridad
Por precaución, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha emitido una alerta, instando a los usuarios a degradar XZ Utils a una versión no comprometida (por ejemplo, XZ Utils 5.4.6 Stable).
Este incidente resalta la importancia de la seguridad en la cadena de suministro de software y subraya la necesidad de una vigilancia continua por parte de la comunidad de seguridad cibernética.
Leer también: Vasos comunicantes en ciberseguridad: mientras que el malware se reduce a la mitad, el ransomware se duplica