Vulnerabilidad CVE-2024-3094 (puerta trasera XZ)

Los analistas de seguridad han descubierto recientemente una vulnerabilidad crítica con repercusiones potencialmente devastadoras. Según un aviso de seguridad urgente, dos iteraciones de la herramienta de compresión de datos ampliamente utilizada, XZ Utils (anteriormente conocida como LZMA Utils), se han visto comprometidas con código malicioso. Este código permite el acceso remoto no autorizado a los sistemas afectados.

Esta violación de seguridad, identificada como CVE-2024-3094, está calificada con una puntuación CVSS de 10,0, lo que significa el nivel más alto de gravedad. Afecta a las versiones 5.6.0 (lanzada el 24 de febrero de 2024) y 5.6.1 (lanzada el 9 de marzo de 2024) de XZ Utils.

El exploit implica una manipulación sofisticada del proceso de construcción de liblzma. Específicamente, un archivo objeto prediseñado se extrae de un archivo de prueba disfrazado dentro del código fuente. Este archivo objeto se utiliza luego para alterar funciones específicas dentro del código liblzma, perpetuando el compromiso.

La vulnerabilidad CVE-2024-3094 permite a los atacantes enviar cargas útiles arbitrarias

El proceso amenazante conduce a una versión modificada de la biblioteca liblzma, capaz de interceptar y alterar las interacciones de datos con cualquier software que la utilice.

Más precisamente, el código incorrecto incrustado en la biblioteca está diseñado para interrumpir el proceso del demonio sshd, un componente de SSH (Secure Shell), a través del paquete de software systemd. Esta manipulación potencialmente otorga a un actor de amenazas la capacidad de comprometer la autenticación sshd y acceder ilícitamente al sistema de forma remota, dependiendo del cumplimiento de ciertas condiciones.

El objetivo final de la puerta trasera dañina introducida por CVE-2024-3094 es inyectar código en el servidor OpenSSH (SSHD) que se ejecuta en la máquina víctima. Esto permitiría a atacantes remotos específicos, en posesión de una clave privada particular, enviar cargas útiles arbitrarias a través de SSH. Estas cargas útiles se ejecutarían antes de la etapa de autenticación, tomando efectivamente el control de todo el sistema victimizado.

La vulnerabilidad CVE-2024-3094 probablemente fue introducida intencionalmente por un actor relacionado con el fraude

El código malicioso intrincadamente oculto parece haber sido integrado a través de una secuencia de cuatro confirmaciones en el Proyecto Tukaani en GitHub por parte de un usuario identificado como Jia Tan (JiaT75).

Teniendo en cuenta la actividad sostenida que duró varias semanas, sugiere que el autor de la confirmación está directamente implicado o ha experimentado un compromiso significativo de su sistema. Sin embargo, el último escenario parece menos plausible, dada su participación en varios foros en relación con las supuestas "soluciones".

GitHub, ahora propiedad de Microsoft, ha tomado medidas desactivando el repositorio XZ Utils gestionado por el Proyecto Tukaani, citando un incumplimiento de los términos de servicio de GitHub. Hasta el momento, no ha habido informes de explotación activa en la naturaleza.

Las investigaciones indican que estos paquetes comprometidos se encuentran exclusivamente en las distribuciones Fedora 41 y Fedora Rawhide. Otras distribuciones importantes, como Alpine Linux, Amazon Linux, Debian Stable, Gentoo Linux, Linux Mint, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise y Leap, y Ubuntu no se ven afectadas por este problema de seguridad.

Mitigar la vulnerabilidad de puerta trasera CVE-2024-3094

Se ha recomendado a los usuarios de Fedora Linux 40 que vuelvan a la versión 5.4. Además, varias otras distribuciones de Linux se han visto afectadas por el ataque a la cadena de suministro, entre ellas:

Arch Linux (medio de instalación 2024.03.01, imágenes de máquinas virtuales 20240301.218094 y 20240315.221711 e imágenes de contenedor creadas entre el 24 de febrero de 2024 y el 28 de marzo de 2024)

• Kali Linux (entre el 26 y 29 de marzo)
• openSUSE Tumbleweed y openSUSE MicroOS (entre el 7 y el 28 de marzo)
• Versiones de prueba, inestables y experimentales de Debian (que van desde 5.5.1alpha-0.1 a 5.6.1-1)

Este desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir su propia alerta, advirtiendo a los usuarios que reviertan XZ Utils a una versión que no se vea afectada por el compromiso, como XZ Utils 5.4.6 Stable.