Código Malicioso en XZ Utils para Sistemas Linux Habilita Ejecución Remota de Código

XPoint
Publicado el 02/04/2024

Malicious Code | Linux | RCE

El código malicioso insertado en la biblioteca de código abierto XZ Utils, un paquete ampliamente utilizado presente en las principales distribuciones de Linux, también es capaz de facilitar la ejecución remota de código, reveló un nuevo análisis.

La audaz compromiso en la cadena de suministro, identificado como CVE-2024-3094 (puntuación CVSS: 10.0), salió a la luz la semana pasada cuando el ingeniero de Microsoft y desarrollador de PostgreSQL, Andres Freund, alertó sobre la presencia de una puerta trasera en la utilidad de compresión de datos que proporciona a los atacantes remotos una forma de eludir la autenticación segura de shell y obtener acceso completo a un sistema afectado.

XZ Utils es una herramienta de línea de comandos para comprimir y descomprimir datos en sistemas Linux y otros sistemas operativos similares a Unix.

El código malicioso fue deliberadamente introducido por uno de los mantenedores del proyecto, Jia Tan (también conocido como Jia Cheong Tan o JiaT75), en lo que parece ser un ataque meticuloso que abarca varios años. La cuenta de usuario de GitHub fue creada en 2021. La identidad del (los) actor(es) es actualmente desconocida.

«El actor amenaza comenzó a contribuir al proyecto XZ hace casi dos años, construyendo lentamente credibilidad hasta que se le dieron responsabilidades de mantenimiento», dijo Akamai en un informe.

Además, se cree que se utilizaron cuentas falsas, como Jigar Kumar y Dennis Ens, para enviar solicitudes de funciones e informar sobre diversos problemas en el software con el fin de obligar al mantenedor original, Lasse Collin del Proyecto Tukaani, a agregar un nuevo co-mantenedor al repositorio.

El código malicioso afecta a los paquetes de lanzamiento de XZ Utils 5.6.0 y 5.6.1, este último contiene una versión mejorada del mismo implante. Collins ha reconocido desde entonces la violación del proyecto, afirmando que ambos paquetes de lanzamiento fueron creados y firmados por Jia Tan y que solo tuvieron acceso al repositorio de GitHub, que ahora está deshabilitado.

«Este es claramente un operación de estado patrocinado muy compleja con una sofisticación impresionante y una planificación de varios años», dijo la empresa de seguridad de firmware Binarly. «Un marco de implantación tan complejo y profesionalmente diseñado no se desarrolla para una operación única.»

Un examen más detenido de la puerta trasera realizado por el criptógrafo de código abierto Filippo Valsorda también reveló que las versiones afectadas permiten que ciertos atacantes remotos envíen cargas útiles arbitrarias a través de un certificado SSH que se ejecutará de manera que elude los protocolos de autenticación, tomando efectivamente el control sobre la máquina víctima.

«Al parecer, la puerta trasera se agrega al demonio SSH en la máquina vulnerable, lo que permite a un atacante remoto ejecutar código arbitrario», dijo Akamai. «Esto significa que cualquier máquina con el paquete vulnerable que expone SSH a Internet es potencialmente vulnerable.»

En otras palabras, la puerta trasera permite a un atacante remoto con una clave privada predeterminada secuestrar el demonio SSH para ejecutar comandos maliciosos.

La exitosa detección accidental de Freund es uno de los ataques más significativos a la cadena de suministro descubiertos hasta la fecha y podría haber sido un grave desastre de seguridad si el paquete se hubiera integrado en versiones estables de las distribuciones de Linux.

«La parte más notable de este ataque a la cadena de suministro es el nivel extremo de dedicación del atacante, trabajando más de dos años para establecerse como un mantenedor legítimo, ofreciéndose a asumir trabajo en varios proyectos OSS y comprometiendo código en múltiples proyectos para evitar la detección», dijo JFrog.

Al igual que en el caso de Apache Log4j, el incidente destaca una vez más la dependencia de software de código abierto y proyectos dirigidos por voluntarios, y las consecuencias que podría tener si sufren un compromiso o tienen una vulnerabilidad importante.

«La ‘solución’ más grande es que las organizaciones adopten herramientas y procesos que les permitan identificar signos de manipulación y características maliciosas tanto en el código de código abierto como en el comercial utilizado en su propio canal de desarrollo», dijo ReversingLabs.

Preguntas frecuentes

¿Qué es una ejecución remota de código?

+

Un ataque de ejecución remota de código (RCE) es cuando un atacante ejecuta código malicioso en los ordenadores o la red de una organización. La capacidad de ejecutar código controlado por el atacante puede utilizarse para diversos fines, como implementar malware adicional o robar datos confidenciales.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos