Un backdoor en XZ Utils infecta a Linux en casi todas partes

El backdoor descubierto en XZ Utils, una herramienta de compresión de archivos utilizada en sistemas Linux, fue introducido en el código en 2015 y pasó desapercibido durante varios años. Este backdoor malicioso podría haber permitido a los atacantes ejecutar código remoto de forma no autorizada en sistemas afectados. Afortunadamente, los expertos en seguridad descubrieron este backdoor a tiempo y se encargaron de remediar la situación antes de que se convirtiera en una amenaza real para los usuarios de Linux. Esta situación destaca la importancia de la seguridad en el desarrollo de software de código abierto y la constante vigilancia de posibles vulnerabilidades para prevenir incidentes de esta magnitud.

El incidente comenzó cuando Andrés Freund, ingeniero de software principal en Microsoft, investigaba por qué el código de seguridad remota SSH en la beta de Linux Debian presentaba lentitud. Su curiosidad lo llevó a descubrir un problema alarmante: Jia Tan, programador principal y mantenedor de la biblioteca de compresión de datos xz, había introducido una puerta trasera en el código. Este acto malintencionado tenía como objetivo permitir a los atacantes tomar control de los sistemas Linux.

A pesar de que Linux es considerado una de las mejores opciones para aumentar la seguridad de los ordenadores de escritorio, la inserción de código malicioso en software se ha vuelto un fenómeno preocupantemente común. Repositorios de código abierto muy utilizados, como el gestor de paquetes de JavaScript npm y el repositorio de software de Python, el Python Package Index (PyPI), han sido señalados por albergar malware de criptominería y hacking.

En este panorama, surgen programas de malware de código abierto como SapphireStealer, diseñados para robar identificaciones de usuario, contraseñas y otros secretos. Aunque se ha escrito mucho código malicioso en Linux y sus utilidades relacionadas, nunca antes se había logrado esconder malware dentro de este sistema —hasta ahora.

Sin embargo, es crucial señalar que el código corrupto de xz nunca llegó a distribuciones de Linux en producción. Solo las distribuciones beta en la vanguardia, como Fedora, Debian, openSUSE y Ubuntu, estaban en riesgo. Por tanto, la mayoría de los usuarios pueden estar tranquilos.

Pero, sin lugar a dudas, Linux esquivó una bala. De haberse propagado este malware a los sistemas Linux utilizados diariamente, las consecuencias habrían sido desastrosas.

Irónicamente, el fracaso de este ataque resalta una de las fortalezas del código abierto. Mark Atwood, ingeniero principal de la oficina de programas de código abierto de Amazon, destacó que el ataque falló precisamente porque era código abierto. En el caso de software no abierto, un ataque similar podría pasar desapercibido durante años.

La transparencia del código abierto permitió a Freund y otros investigadores entender y revelar rápidamente cómo se realizó el ataque contra xz. Esto contrasta con incidentes en software cerrado, cuyos detalles a menudo permanecen oscuros.

Aunque aún se especula sobre quién estuvo detrás del ataque y sus motivaciones, es posible que la codicia, impulsada por el valor actual de Bitcoin, haya sido un factor. El atacante, bajo el nombre de Jia Tan, tomó el control del proyecto xz con la intención de insertar rápidamente el programa infectado con la puerta trasera en las distribuciones de Linux.

Gracias a las investigaciones de Freund, Lasse Collin, el mantenedor original de XZ, ha retomado el control del proyecto y está limpiando el código.

La preocupación de que xz sea solo la punta del iceberg en cuanto a malware oculto en Linux persiste. Sin embargo, como observa Eric S. Raymond, cofundador del movimiento de código abierto, no hay evidencia concreta de que esto sea así, y suponerlo no ofrece una estrategia clara a seguir.

Fuente

Las últimas noticias en nuestro podcast semanal

Comentarios

No hay comentarios aún. ¿Por qué no comienzas el debate?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.