Un desarrollador alerta parece haber impedido que una puerta trasera (probablemente introducida en una utilidad de compresión por actores respaldados por el estado) se distribuya a los sistemas Linux de producción. El código malicioso parece permitir eludir las comprobaciones durante la autenticación SSH.
Andrés Freund, un ingeniero de software de Microsoft que detectó la puerta trasera en xz Utils, dijo que el código malicioso se había introducido en las versiones 5.6.0 y 5.6.1. La sospecha de que pueda ser un acto patrocinado por el Estado ha surgido porque el código se ha estado implementando durante un largo período.
freund escribió el viernes: “Después de observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones sid de Debian durante las últimas semanas (los inicios de sesión con ssh consumen mucha CPU, errores de valgrind), descubrí la respuesta: El repositorio xz ascendente y los archivos tar xz tienen una puerta trasera.
“Al principio pensé que se trataba de un compromiso del paquete Debian, pero resulta que es una cuestión anterior”.
Uno de los desarrolladores en cuestión, que tenía el identificador JiaT75, había sido mantenedor del paquete durante más de dos años. Freund añadió: “Dada la actividad durante varias semanas, el autor de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema.
“Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘soluciones’ mencionadas anteriormente”. Su referencia fue a varias adiciones sugeridas por el mantenedor sospechoso para solucionar problemas con el código: aquí, aquí, aquíy aquí. [Thanks to Dan Goodin for these four links.}
SSH or secure shell is an utility used to log in securely to systems, with the majority of Linux systems using a port known as OpenSSH that is maintained by the OpenBSD project, an Unix clone.
The only production Linux system in which the doctored code was distributed appears to have been the Tumbleweed stream put out by the OpenSUSE project. The developers at that project wrote on Friday: “For our openSUSE Tumbleweed users where SSH is exposed to the Internet, we recommend installing fresh, as it’s unknown if the backdoor has been exploited.
“Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
“It has been established that the malicious file introduced into Tumbleweed is not present in SUSE Linux Enterprise and/or Leap. Current research indicates that the backdoor is active in the SSH Daemon, allowing malicious actors to access systems where SSH is exposed to the Internet.”
Debian issued patched versions of xz Utils for its testing, experimental and unstable streams of development. Red Hat said on Friday, “Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates. Fedora Rawhide users may have received version 5.6.0 or 5.6.1.”
“At this time the Fedora Linux 40 builds have not been shown to be compromised. We believe the malicious code injection did not take effect in these builds. However, Fedora Linux 40 users should still downgrade to a 5.4 build to be safe.”
Later, Red Hat added: “We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries – xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta users to revert to 5.4.x versions.”
It is likely to be quite some time before calm returns; former senior Debian developer Joey Hess provided one reason, noting that the accounts used by the suspected malicious actors had made more than 700 commits [code contributions] durante los últimos dos años.
Escribió Hess: “Cuento un mínimo de 750 confirmaciones o contribuciones a xz por parte de Jia Tan, quien hizo una puerta trasera. Esto incluye las 700 confirmaciones realizadas después de que fusionaron una solicitud de extracción el 7 de enero de 2023, momento en el que parecen haber tenido ya acceso directo acceso push, lo que también les habría permitido enviar confirmaciones con autores falsificados. Probablemente también una serie de otras confirmaciones antes de ese punto.
“Revertir la versión con puerta trasera a una versión anterior no es suficiente para saber que Jia Tan no ha ocultado otras puertas traseras en ella. La versión 5.4.5 todavía contiene la mayoría de esas confirmaciones”.
Y añadió: “El paquete debería revertirse a una versión anterior a su [the bad actors’] participación, que comenzó con el compromiso 6468f7e41a8e9c611e4ba8d34e2175c5dacdbeb4. O sus compromisos tempranos [should be] examinado y revertido a un punto posterior, pero cualquier compromiso arbitrario por parte de un actor malo y malicioso conocido casi con certeza tiene menos valor que el riesgo de que un cambio sutil pase desapercibido.
“Sugeriría volver a 5.3.1, teniendo en cuenta que hubo correcciones de seguridad después de ese punto… que deberían volver a aplicarse”.
El individuo que ha sido sospechoso parece haber estado ofreciendo ayuda fuera de la lista también, en lo que podría ser un esfuerzo por congraciarse con otros desarrolladores y así disipar cualquier sospecha detrás de estas ofertas en caso de que surgiera.
Como es de esperarse, ha habido largas discusiones sobre el tema; Noticias semanales de Linux tiene un hilo largo aquímientras Noticias de piratas informáticos tenía más de 2000 publicaciones [when I last looked] aquí.
2024-03-31 00:31:21
1711846412
#desarrollador #alertas #puede #haber #ahorrado #los #usuarios #Linux #mundo #dolor
