Recientemente, se ha descubierto una vulnerabilidad crítica en XZ Utils, específicamente identificada como CVE-2024-3094. Este incidente de seguridad involucra versiones específicas de XZ Utils que contienen una puerta trasera, permitiendo potencialmente a un atacante comprometer sistemas que utilizan estas versiones afectadas.
Información Básica y Contexto
La vulnerabilidad afecta a las versiones 5.6.0 y 5.6.1 de XZ Utils, las cuales fueron creadas y firmadas por Jia Tan. Se ha identificado que solo las tars (archivos comprimidos) generadas y firmadas por Jia Tan están comprometidas. Es importante señalar que cualquier fichero firmado por Lasse Collin, otro de los mantenedores del proyecto, fue creada por él y no está afectada por esta vulnerabilidad.
Como consecuencia del descubrimiento de esta puerta trasera, las cuentas de GitHub de Lasse Collin (Larhzu) y Jia Tan han sido suspendidas. Adicionalmente, el nombre DNS xz.tukaani.org, que alojaba el sitio web del proyecto en las páginas de GitHub, también ha sido dado de baja.
Es crucial destacar que Jia Tan solo tenía acceso a los recursos alojados en GitHub, incluyendo el subdominio xz.tukaani.org. Por otro lado, Lasse Collin ha sido el único con acceso al sitio web principal de tukaani.org, los repositorios git.tukaani.org y archivos relacionados, asegurando que estos elementos clave no estén comprometidos.
Análisis y Descubrimiento de la Puerta Trasera
El análisis detallado de la puerta trasera fue inicialmente compartido en la lista de correo de seguridad de Openwall por Andres Freund, quien notó comportamientos inusuales en instalaciones de Debian sid relacionadas con liblzma (parte del paquete xz) que provocaron un alto uso de CPU y errores de Valgrind. Tras una investigación más profunda, se reveló que tanto el repositorio upstream de xz como las tarballas distribuidas contenían la puerta trasera.
La parte crítica de la puerta trasera se encuentra únicamente en las tarballas distribuidas y no en el código fuente upstream de build-to-host. Sin embargo, está presente en las tarballas de las versiones comprometidas, excepto en los enlaces de «código fuente» generados directamente por GitHub a partir del contenido del repositorio.
Impacto y Sistemas Afectados
La puerta trasera modifica el proceso de construcción si se cumplen ciertas precondiciones, apuntando principalmente a sistemas Linux x86-64 que utilizan glibc y se construyen con GCC y el enlazador GNU. Específicamente, se activa durante la construcción de paquetes Debian o RPM.
Afortunadamente, las versiones afectadas de xz, 5.6.0 y 5.6.1, no han sido ampliamente integradas por las distribuciones de Linux, y donde se han incluido, ha sido principalmente en versiones preliminares.
Recomendaciones y Mitigación
Se insta a los administradores de sistemas y usuarios a actualizar inmediatamente sus sistemas para mitigar esta amenaza. Para obtener más información sobre sistemas afectados y cómo actualizar, se recomienda revisar los anuncios de seguridad de las respectivas distribuciones o consultar la página de xz-utils en Repology.
Este incidente subraya la importancia de la revisión meticulosa del código y el escrutinio de las contribuciones, incluso en proyectos de código abierto bien establecidos y confiables. La comunidad de seguridad y los desarrolladores deben trabajar juntos para fortalecer las prácticas de seguridad y prevenir incidentes similares en el futuro.
