Red Hat advierte sobre backdoor en las herramientas XZ en Linux

Iniciado por AXCESS, Marzo 30, 2024, 12:25:32 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 30, 2024, 12:25:32 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy, Red Hat advirtió a los usuarios que dejaran de usar inmediatamente sistemas que ejecutan versiones experimentales y de desarrollo de Fedora debido a una puerta trasera (backdoor) encontrada en las últimas bibliotecas y herramientas de compresión de datos de XZ Utils.

"POR FAVOR, DETENGA INMEDIATAMENTE EL USO DE CUALQUIER INSTANCIA DE FEDORA 41 O FEDORA RAWHIDE para trabajo o actividad personal", advirtió Red Hat el viernes.

"Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Tenemos informes y evidencia de las inyecciones creadas con éxito en versiones xz 5.6.x creadas para Debian inestable (Sid). Otras distribuciones también pueden verse afectadas".

El equipo de seguridad de Debian también emitió un aviso advirtiendo a los usuarios sobre el problema. El aviso dice que ninguna versión estable de Debian está utilizando los paquetes comprometidos y que XZ ha sido revertido al código original 5.4.5 en las distribuciones experimentales, inestables y de prueba de Debian afectadas.

El ingeniero de software de Microsoft, Andrés Freund, descubrió el problema de seguridad mientras investigaba inicios de sesión SSH lentos en una máquina Linux que ejecutaba Debian Sid (la versión de desarrollo continuo de la distribución Debian).

Sin embargo, no ha encontrado el propósito exacto del código malicioso agregado a las versiones 5.6.0 y 5.6.1 de XZ.

"Aún no he analizado con precisión qué se está verificando en el código inyectado para permitir el acceso no autorizado. Dado que esto se ejecuta en un contexto de autenticación previa, parece probable que permita alguna forma de acceso u otra forma de ejecución remota de código." dijo Freund.

"Inicialmente, iniciar sshd fuera de systemd no mostró desaceleración, a pesar de que se invocó brevemente la puerta trasera. Esto parece ser parte de algunas contramedidas para dificultar el análisis".

Red Hat vuelve a XZ 5.4.x en Fedora Beta

Red Hat ahora está rastreando este problema de seguridad de la cadena de suministro como CVE-2024-3094, le asignó una puntuación de gravedad crítica de 10/10 y volvió a las versiones 5.4.x de XZ en Fedora 40 beta.

El código malicioso está ofuscado y sólo se puede encontrar en el paquete de descarga completo, no en la distribución Git, que carece de la macro M4, que desencadena el proceso de compilación de la puerta trasera.

Si la macro maliciosa está presente, los artefactos de la segunda etapa que se encuentran en el repositorio de Git se inyectan durante el tiempo de compilación.

"La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas, y sshd es el servicio que permite el acceso", dijo Red Hat.

"En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota".

CISA también publicó hoy un aviso advirtiendo a los desarrolladores y usuarios que bajen a una versión XZ no comprometida (es decir, 5.4.6 Estable) y busquen cualquier actividad maliciosa o sospechosa en sus sistemas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario