El ataque de puerta trasera a la cadena de suministro de XZ Utils descubre un incidente de vulnerabilidad similar de hace años

La reciente revelación de una puerta trasera en XZ Utils ha despertado recuerdos de un incidente pasado en un desarrollador de F-Droid, un repositorio de aplicaciones de Android de código abierto. El mantenedor de PostgreSQL, Andrés Freund, dio la alarma sobre una puerta trasera encontrada en la biblioteca de compresión de datos Liblzma (XZ Utils) a finales de marzo. Esta biblioteca es ampliamente utilizada por los desarrolladores y viene preinstalada en varias distribuciones de Linux. Inicialmente se pensó que permitía eludir la autenticación SSH, pero un análisis más detenido reveló que en realidad facilitaba la ejecución remota de código, designada como vulnerabilidad CVE-2024-3094.

Los ataques a la cadena de suministro de software de código abierto no son infrecuentes, pero lo que distingue a este incidente es su aparente duración de varios años. Hans-Christoph Steiner, mantenedor de F-Droid, recordó un evento similar en 2020. En ese caso, se intentó insertar una vulnerabilidad de inyección SQL, aunque fue frustrado. La similitud entre los dos incidentes radica en la presión aplicada por cuentas aleatorias para incluir código malicioso.

Steiner cree que el intento de insertar la vulnerabilidad fue intencional, dada la posterior eliminación de la cuenta del remitente. En el caso de XZ Utils, la puerta trasera se atribuyó a un individuo llamado Jia Tan, o JiaT75, que puede ser una identidad ficticia creada por un sofisticado actor de amenazas. La participación de Jia Tan en el proyecto comenzó de manera inofensiva en octubre de 2021 y aumentó gradualmente hasta convertirse en contribuciones significativas a mediados de 2023, potencialmente en preparación para la puerta trasera.

La puerta trasera finalmente se agregó en febrero de 2024 y Freund la descubrió un mes después, antes de su distribución generalizada. Collin, el principal desarrollador de XZ Utils, está llevando a cabo una investigación sobre el asunto. Dan Lorenc, experto en seguridad de la cadena de suministro de software, advirtió sobre este tipo de ataques a largo plazo en un podcast en 2022, sugiriendo que podrían estar involucrados equipos de piratería gubernamentales.

La pregunta pendiente es si en el futuro surgirán incidentes similares, posiblemente orquestados por los mismos o diferentes actores de amenazas. A medida que Collin profundice en la investigación, se espera que surjan más detalles, que arrojen luz sobre el alcance y las implicaciones de la puerta trasera de XZ Utils.