A finales de marzo se descubrió la implantación de un backdoor (puerta trasera) en XZ, el conjunto de herramientas de compresión de datos integrada en muchas distribuciones populares de Linux. El análisis inicial reveló que es extremadamente sofisticada en términos de ejecución, evasión (proceso que evita su detección por parte de las soluciones de seguridad) e impacto (potenciales pérdidas para las organizaciones) en servidores SSH. Dado que las utilidades troyanizadas de Linux lograron abrirse camino en varias versiones populares que se lanzaron en marzo, esta vulnerabilidad (CVE-2024-3094) podría considerarse como un grave ataque a la cadena de suministro.
El ataque inició al comprometer la biblioteca de la herramienta XZ, la cual incluye archivos para probar el código de compresión y descompresión de datos para asegurarse de que este funciona. Los especialistas de Kaspersky explican que los atacantes se dieron cuenta de esto y agregaron dos archivos de prueba que ocultan el código para implantar un backdoor, permitiendo a los invasores controlar las máquinas en las que esta biblioteca esté instalada. También es posible utilizar este backdoor para otros tipos de ataques, dependiendo de la intención de los criminales.
Según expertos de Kaspersky, la vulnerabilidad CVE-2024-3094 podría haberse convertido en el ataque a mayor escala al ecosistema Linux de la historia, ya que estaba principalmente dirigido a servidores SSH, la principal herramienta de gestión remota de todos los servidores de Linux en internet.
Afortunadamente, fue detectada en las distribuciones en situación de prueba y en desarrollo, donde se utilizaron los últimos paquetes de software, lo que mantuvo a salvo a un gran número de usuarios de Linux.
“La implementación del backdoor se realizó de manera muy sigilosa, lo que dificultó su identificación por parte de la comunidad de software de código abierto (OSS). Los códigos del backdoor también son altamente complejos. La manera en que la infección utiliza códigos legítimos para tareas maliciosas también es muy inteligente y demuestra la familiaridad del invasor (desarrollador) con el sistema operativo objetivo. Nuestra experiencia en amenazas de Linux fue esencial para comprender rápidamente cómo ocurre la infección”, afirma Anderson Leite, investigador de seguridad de Kaspersky.
Tras su detección y análisis, los expertos de Kaspersky aseguran que los clientes de la empresa no se verán afectados por esta vulnerabilidad. Las tecnologías de la empresa detectan esta amenaza con el nombre HEUR:Trojan.Script.XZ.a y Trojan.Shell.Xz.a. Además, la solución de protección de la empresa para Linux también detecta el proceso malicioso SSHD en la memoria como MEM:Trojan.Linux.XZ.a (como parte del escaneo de áreas críticas).