En el mundo de la ciberseguridad, la reciente revelación de una puerta trasera que casi se fusiona con el omnipresente xz Utils, una herramienta de compresión de datos ampliamente utilizada en sistemas Linux y similares a Unix, ha causado conmoción en la comunidad tecnológica. Las consecuencias potencialmente catastróficas de este casi accidente subrayan la importancia de la vigilancia y la transparencia en el desarrollo de software de código abierto.
¿Qué es xz Utils?
xz Utils es un conjunto de utilidades de compresión de datos de código abierto diseñadas para sistemas operativos tipo Unix, particularmente Linux. Proporciona compresión sin pérdidas, lo que significa que los datos se pueden comprimir y descomprimir sin pérdida de información.
En esencia, xz Utils gira principalmente en torno al formato xz, que es conocido por su alta relación de compresión y uso eficiente de los recursos del sistema. Se usa comúnmente para comprimir archivos o archivos de gran tamaño, lo que lo convierte en una herramienta esencial para la distribución de software, copias de seguridad del sistema y almacenamiento de datos.
Además del formato xz, xz Utils también admite el formato heredado .lzma, que fue su predecesor. Esta compatibilidad con versiones anteriores garantiza que los sistemas y software más antiguos aún puedan interactuar con archivos comprimidos con xz Utils.
En general, xz Utils es un componente crucial de los sistemas tipo Unix, ya que proporciona capacidades de compresión de datos eficientes y confiables, esenciales para diversas tareas informáticas, como los servicios SSH (Secure Shell).
¿Qué es SSH?
SSH, que significa Secure Shell, es un protocolo de red criptográfico que se utiliza para la comunicación segura a través de una red insegura. Permite a los usuarios acceder y administrar de forma segura sistemas y dispositivos remotos a través de una red, como Internet. SSH proporciona una alternativa segura a los protocolos tradicionales como Telnet, que transmiten datos en texto sin formato, lo que los hace susceptibles a la interceptación y al acceso no autorizado.
Estas son algunas de las características y funciones clave de SSH:
Acceso remoto seguro: SSH permite a los usuarios iniciar sesión en sistemas remotos de forma segura y ejecutar comandos de forma remota en esos sistemas. Los administradores de sistemas lo utilizan comúnmente para administrar servidores y dispositivos de red.
Cifrado de datos: SSH cifra todos los datos transmitidos entre el cliente y el servidor, incluidos nombres de usuario, contraseñas y comandos, mediante algoritmos criptográficos. Esto garantiza que la información confidencial permanezca confidencial y no pueda ser interceptada por atacantes.
Autenticación: SSH admite varios métodos de autenticación, incluida la autenticación basada en contraseña, la autenticación de clave pública y la autenticación interactiva con teclado. La autenticación de clave pública se considera más segura y, a menudo, se prefiere para procesos automatizados y acceso seguro sin necesidad de contraseñas.
Reenvío de puertos: SSH admite el reenvío de puertos, lo que permite a los usuarios crear túneles de forma segura para conexiones de red entre sistemas locales y remotos. Esta característica es útil para acceder de forma segura a servicios que se ejecutan en sistemas remotos o para evitar las restricciones del firewall.
Transferencia segura de archivos: SSH incluye utilidades como SCP (Copia segura) y SFTP (Protocolo de transferencia de archivos SSH) para la transferencia segura de archivos entre sistemas. Estas utilidades cifran las transferencias de archivos y proporcionan autenticación para garantizar la integridad y confidencialidad de los datos.
SSH es una herramienta fundamental para acceder y administrar de forma segura sistemas remotos, proporcionando cifrado, autenticación y otras funciones de seguridad para proteger información confidencial y garantizar una comunicación segura a través de redes.
Descubriendo la puerta trasera de xz Utils
El descubrimiento de la puerta trasera fue nada menos que un golpe de suerte, sacado a la luz por Andrés Freund, un desarrollador que trabaja en las ofertas PostgreSQL de Microsoft. Mientras solucionaba problemas de rendimiento en un sistema Debian, Freund notó un comportamiento anómalo en los inicios de sesión SSH (Secure Shell), y finalmente rastreó el problema hasta actualizaciones maliciosas dentro de xz Utils.
Tras una inspección más cercana, se reveló que las versiones 5.6.0 y 5.6.1 de xz Utils contenían una puerta trasera que manipulaba el ejecutable SSH, lo que potencialmente permitía a actores maliciosos ejecutar código arbitrario en sistemas comprometidos.
La cronología de la puerta trasera
La cronología de los acontecimientos que condujeron a esta revelación pinta un panorama inquietante de infiltración deliberada en proyectos de código abierto. Parece que un usuario identificado como JiaT75 inició cambios sutiles en proyectos de código abierto, ganando gradualmente credibilidad dentro de la comunidad. Estos cambios culminaron con la inserción de una puerta trasera en xz Utils, aprovechando la confianza y la colaboración inherentes al desarrollo de código abierto.
2021:
Actividad inicial de JiaT75. En 2021, un usuario con el nombre de usuario JiaT75 realizó su primer compromiso conocido con un proyecto de código abierto. Se realizó un cambio notable en el proyecto libarchive, reemplazando el impresión_segura funcionar con una variante que era menos segura. Este cambio pasó desapercibido en su momento.
2022:
Introducción a las utilidades xz. JiaT75 envió un parche a la lista de correo de xz Utils, indicando su participación en el desarrollo de xz Utils. Poco después, un participante nunca antes visto llamado Jigar Kumar se unió a las discusiones y expresó su descontento con el mantenimiento del proyecto.
Presión por el cambio. Kumar, junto con partidarios como Dennis Ens y otros nuevos en la lista de correo, presionó a Lasse Collin, quien mantuvo desde hace mucho tiempo xz Utils, para que contratara desarrolladores adicionales para mantener el proyecto. Esta presión potencialmente allanó el camino para una mayor infiltración.
2023 de enero:
Participación activa: JiaT75, que ahora usa el nombre Jia Tan, hizo su primer compromiso con xz Utils. Durante los meses siguientes, Tan se involucró cada vez más en los asuntos de xz Utils, tomando acciones como reemplazar la información de contacto de Collin con la suya propia en oss-fuzz, un proyecto para escanear vulnerabilidades de software de código abierto.
Febrero 2024:
Implementación de la puerta trasera: Tan emitió confirmaciones para las versiones 5.6.0 y 5.6.1 de xz Utils, que incluían la implementación de la puerta trasera. Estas actualizaciones pasaron desapercibidas al principio, ya que la puerta trasera operaba discretamente dentro del software.
Llamamientos a la integración: tras la implementación de la puerta trasera, Tan o sus cómplices hicieron un llamamiento a los desarrolladores de las principales distribuciones de Linux, incluidos Ubuntu, Red Hat y Debian, para que fusionaran las actualizaciones en sus sistemas operativos. Una de las actualizaciones finalmente llegó a los lanzamientos de las distribuciones Debian y Red Hat.
Descubrimiento de la puerta trasera:
Investigación de Andrés Freund: La puerta trasera fue sacada a la luz por Andrés Freund, un desarrollador que trabaja en las ofertas PostgreSQL de Microsoft. Freund notó un comportamiento anómalo en los inicios de sesión SSH en un sistema Debian y rastreó el problema hasta las actualizaciones dentro de xz Utils.
Revelación sobre la lista de seguridad de código abierto: el viernes, Freund reveló la presencia de la puerta trasera en la lista de seguridad de código abierto, exponiendo la colocación intencional de la puerta trasera en xz Utils.
Después del descubrimiento:
Análisis y mitigación: los investigadores y desarrolladores de seguridad trabajaron diligentemente para analizar las actualizaciones maliciosas y desarrollar herramientas para detectar y mitigar posibles instancias de la puerta trasera. Se emplearon varias herramientas y métodos, incluido el análisis del comportamiento y la ingeniería inversa, para abordar la amenaza.
La línea de tiempo destaca la infiltración y manipulación gradual de un proyecto de código abierto, lo que llevó a la implementación casi exitosa de una puerta trasera en una utilidad de software ampliamente utilizada, lo que subraya la importancia de la vigilancia y el escrutinio en los procesos de desarrollo y mantenimiento de software.
Entendiendo la puerta trasera
La sofisticación de la puerta trasera radica en su capacidad para evadir la detección y ejecutar cargas maliciosas con precisión. Al manipular el ejecutable SSH a través de xz Utils, los atacantes podrían potencialmente comprometer sistemas sensibles y filtrar datos críticos.
Mitigar la amenaza
A raíz de este descubrimiento, la comunidad de ciberseguridad se ha unido para evaluar y mitigar la amenaza que representa la puerta trasera. Herramientas como binario y xzbot han surgido para ayudar a detectar y analizar instancias potenciales de la puerta trasera.
El papel de Valgrind
Valgrind, una utilidad para monitorear la memoria de la computadora, jugó un papel crucial en el descubrimiento de actualizaciones maliciosas dentro de xz Utils. Al identificar anomalías en el uso de la CPU y las operaciones de memoria, los desarrolladores pudieron identificar el origen del problema y evitar una explotación generalizada. Valgrind es un conjunto de herramientas de programación de código abierto diseñado para depurar y crear perfiles de aplicaciones. Proporciona una gama de herramientas que ayudan a los desarrolladores a identificar pérdidas de memoria, detectar errores de memoria, perfilar el uso de la memoria y analizar la ejecución del programa. Algunas características y componentes clave de Valgrind:
Detección de errores de memoria: Valgrind incluye herramientas como Memcheck, que detecta varios errores relacionados con la memoria en los programas, incluidas pérdidas de memoria, accesos no válidos a la memoria (como lectura o escritura en memoria no inicializada) y mala gestión de la asignación de memoria dinámica (por ejemplo, liberar memoria que tiene ya ha sido liberado).
Detección de errores de hilo: La herramienta ThreadSanitizer (TSan) de Valgrind detecta carreras de datos y otros errores de subprocesos en programas multiproceso. Ayuda a identificar errores de concurrencia que pueden provocar comportamientos impredecibles y problemas difíciles de depurar.
Perfilado: Valgrind proporciona herramientas de creación de perfiles como Callgrind y Cachegrind, que ayudan a analizar el rendimiento del programa midiendo la frecuencia de llamadas a funciones, el uso de la caché y el tiempo de ejecución. Estas herramientas ayudan a los desarrolladores a identificar cuellos de botella y optimizar el rendimiento de sus aplicaciones.
Análisis de ejecución del programa: Las herramientas de Valgrind también pueden rastrear la ejecución de programas a nivel de instrucción, lo que permite a los desarrolladores analizar el comportamiento del programa en detalle. Esto puede resultar útil para comprender el flujo del programa, identificar cuellos de botella en el rendimiento y diagnosticar errores difíciles de encontrar.
Soporte de plataforma: Valgrind se utiliza principalmente en sistemas operativos tipo Unix, incluidas las variantes de Linux, macOS y BSD. Admite una amplia gama de lenguajes de programación y compiladores, incluidos C, C++ y Fortran, y puede integrarse en varios entornos de desarrollo y sistemas de compilación.
Impacto en el panorama de proveedores
El descubrimiento de la puerta trasera en xz Utils ha repercutido en todo el panorama de proveedores, generando importantes preocupaciones y medidas proactivas entre los proveedores de software. Dada la amplia integración de xz Utils en varias distribuciones de Linux, las posibles implicaciones de la infiltración de la puerta trasera son de gran alcance. Los proveedores ahora tienen la tarea de reevaluar sus cadenas de suministro de software, examinar las dependencias y fortalecer sus canales de desarrollo y distribución contra amenazas similares. El incidente subraya la importancia crítica de la transparencia, los procesos de revisión de código y las auditorías de seguridad en el desarrollo de software de código abierto. Además, sirve como un claro recordatorio de la necesidad de una vigilancia y colaboración continuas dentro de la comunidad de software para protegerse contra actores maliciosos que buscan explotar vulnerabilidades en componentes de software ampliamente utilizados. Los proveedores ahora enfrentan el desafío de restaurar la confianza entre los usuarios, implementar protocolos de seguridad rigurosos y fomentar una cultura de responsabilidad para mitigar los riesgos que plantean tales vulnerabilidades en el futuro.
RELIANOID Balanceador de carga Se han proporcionado actualizaciones y la puerta trasera no se vio afectada en nuestras soluciones. Contacta con los expertos para más información.
¡Disfrute de la experiencia de confiabilidad del sitio!
Blogs relacionados
