Vulnerabilidad CVE-2024-3094 (puerta trasera XZ) descubierta en la biblioteca de compresión de datos de Linux
Red Hat emitió un aviso de seguridad urgente el viernes con respecto a dos versiones de la herramienta de compresión de datos ampliamente utilizada XZ Utils, anteriormente conocida como LZMA Utils, que han sido comprometidas con código malicioso destinado al acceso remoto no autorizado.
La falla de seguridad, identificada como CVE-2024-3094 y clasificada con una puntuación de gravedad de 10.0, afecta a las versiones 5.6.0 (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo) de XZ Utils.
Según Red Hat, el código comprometido dentro de la biblioteca liblzma se inyecta mediante un proceso complejo durante la compilación, lo que permite la interceptación y modificación de las interacciones de datos. Específicamente, el código tiene como objetivo alterar el proceso del demonio sshd dentro del paquete de software systemd, permitiendo potencialmente el acceso no autorizado al sistema bajo ciertas condiciones.
La puerta trasera permite cargas útiles arbitrarias a través de SSH
El objetivo final de esta puerta trasera, tal como lo identifica JFrog, es inyectar código en el servidor OpenSSH (SSHD) para permitir a atacantes remotos específicos con una clave privada particular ejecutar cargas útiles arbitrarias a través de SSH antes de la autenticación, esencialmente tomando el control de la máquina de la víctima.
El problema fue sacado a la luz por el investigador de seguridad de Microsoft, Andrés Freund, quien identificó un código malicioso muy ofuscado introducido a través de una serie de confirmaciones en el repositorio GitHub del Proyecto Tukaani por parte de un usuario llamado Jia Tan (JiaT75).
GitHub, propiedad de Microsoft, ha tomado medidas deshabilitando el repositorio de XZ Utils debido a una violación de sus términos de servicio. Hasta el momento, no se han reportado casos de explotación activa en la naturaleza.
Los paquetes afectados se han encontrado únicamente en Fedora 41 y Fedora Rawhide, sin impacto en otras distribuciones como Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise y Leap. y Ubuntu.