Inyección de código malicioso en la librería XZ Utils

Fecha de publicación 01/04/2024
Importancia
5 - Crítica
Recursos Afectados
  • XZ Utils, versiones 5.6.0 y 5.6.1.
  • Paquetes XZ de ArchLinux, versiones anteriores a 5.6.1-2 (concretamente 5.6.0-1 y 5.6.1-1).
  • Fedora Linux 40, se recomienda utilizar la versión 5.4.
  • Kali Linux, entre 26 y 29 de marzo.
  • OpenSUSE Tumbleweed y openSUSE MicroOS, entre 7 y 28 de marzo.
  • Versiones experimentales e inestables de Debian, desde 5.5.1alpha-0.1 hasta 5.6.1-1.
  • Paquetes de XZ Utils 5.6.x creados en Debian inestable. Se recomienda a los usuarios de otras distribuciones consultar con sus distribuidores.

Para comprobar la versión de XZ Utils instalada, se pueden ejecutar los comandos proporcionados por JFROG.

Más información sobre las versiones afectadas en el blog de JFROG.

Adicionalmente, JFROG ha publicado una herramienta para detectar si la máquina local es vulnerable.

Descripción

Andres Freund, ingeniero de software de Microsoft, ha descubierto una vulnerabilidad crítica en XZ Utils, una librería de compresión de datos ampliamente utilizada en varias distribuciones de Linux. En las versiones 5.6.0 y 5.6.1 se introdujo código malicioso. XZ Utils que incluye la librería liblzma utilizado por varios software, incluyendo sshd que es una de las técnicas conocidas para abusar del backdoor instalado.

Solución

Se recomienda cambiar la versión de XZ Utils a una versión no afectada, como por ejemplo 5.4.6, y después reiniciar el equipo o el servidor OpenSSH para eliminar el código de la memoria.

Detalle

La utilidad de compresión XZ Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, que podría permitir el acceso remoto y no autorizado a través de SSH. El payload malicioso se ejecutaba en el mismo proceso que el servidor OpenSSH (SSHD) y modificaba las rutinas de descifrado en el servidor OpenSSH, para así permitir a un atacante remoto, con una clave privada específica, enviar payloads arbitrarios a través de SSH, que se ejecutarán antes de la comprobación de autenticación, secuestrando el equipo afectado. Se ha asignado el identificador CVE-2024-3094 para esta vulnerabilidad.

Listado de referencias
NVD - CVE-2024-3094
Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094
Backdoor in upstream xz/liblzma leading to ssh server compromise
Urgent security alert for Fedora Linux 40 and Fedora Rawhide users
XZ Utils Supply Chain Puzzle: Binarly Ships Free Scanner for CVE-2024-3094 Backdoor
Etiquetas