Una cadena es tan fuerte como su eslabón más débil

-Thomas Reid

Como en estos últimos días he estado un poco mas adentrado al rollo de los servidores que creo que se me esta olvidando programas XD. Y me topo con un descubrimiento de un backdoor en XZ Utils, a cargo de un trabajador de nada mas y nada menos que de microsoft. Esta herramienta de compresión de datos es ampliamente utilizada en sistemas operativos de tipo Linux y Unix. Y se estuvo a nada de que fuera un c4g4d3r0 ya que ponían en riesgo la seguridad de bastantes servidores y usuarios. Por cual hay que verificar nuestros Sistemas Operativos y estar al pendientes de esas herramientas que usamos día a día. Ya que como bien sabemos el Software Libre y/o OpenSource . Te permite integrarte a un equipo de desarrollo; Pero no todos tenemos buenas intenciones.

Como se descubrió este bicho “Backdoor”

Andres Freund, un desarrollador e ingeniero de Microsoft que trabaja en el proyecto de PostgreSQL, estaba investigando problemas de rendimiento en la distro Debian relacionados con SSH (Secure Shell), el protocolo ampliamente utilizado para iniciar sesión de forma remota . Este sintió curiosidad del por que el inicio de sesión SSH estaban consumiendo demasiado CPU y generando errores demasiados raros. La atención meticulosa de este Inge. Lo llevo a descubrir lo que sería una brecha de seguridad catastrófica realizada por una actualización en el paquete XZ Utils.

Y gracias a su comunicado a través de las lista de seguridad de código abierto, reveló que estas actualizaciones eran el resultado de alguien que había insertado deliberadamente un backdoor en el software de compresión. Y recalca que dicho evento solo pudo originarse a través de una sutil y bien planeada ingeniería social y una asombrosa programación con fuertes conocimientos del manejo del kernel. Ya que permitían la ejecución de código malicioso con privilegios de root la base principal de Gnu/Linux

La teoría de conspiración de JiaT75

El backdoor fue atribuido a un usuario llamado JiaT75, quien aparentemente tenía acceso al repositorio de XZ para Java. Sin embargo, la identidad real de este desarrollador sigue siendo un misterio. Algunas teorías sugieren que podría ser un hacker individual, mientras que otras especulan que podría tratarse de un grupo respaldado por algún gobierno. Sea cual sea la verdad, este incidente destaca la importancia de mantenimiento de software libre ya que si bien existen comunidades que apoyan a proyectos . También esta la otra cara de la moneda donde hay muchos proyectos que solo lo manteniente una persona. Y algunos lo hacen sin animo de lucro. Algo similar paso con proyectos como LibreSSL que también puso en jaque esto del mantenimiento del software.

Este intento por meter backdoor en librerias importante plantea serias preocupaciones sobre la seguridad de las herramientas de software ampliamente utilizadas. La comunidad de desarrollo y los administradores de sistemas deben permanecer vigilantes y tomar medidas para protegerse contra amenazas similares en el futuro. Y apoyar a estas personas que al final son humanos y necesitan de café o mínimo de una mensaje motivacional. Así que esto es un recordatorio de que incluso las herramientas confiables pueden ser comprometidas, y la seguridad debe ser una prioridad constante en el mundo digital.

Distros comprometidas

Pero si de todas tienes dudas te dejo aquí un script que te ayudara a detectar si tienes la vulnerabilidad en tu sistema https://github.com/cyclone-github/scripts/blob/main/xz_cve-2024-3094-detect.sh . Recuerden si estan vulnerados solo deben hacer un rollback a la versión 5.4 ya que las que estan infectadas son  5.6.0 y 5.6.1 . Que se liberaron entre 24 de febrero y el 9 de marzo. Y pues bueno esto es todo y nos leemos muy pronto me comentan como les fue.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/

XZ data compression in Linux — The Linux Kernel documentation