Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Encuentran puerta trasera en biblioteca XZ en Linux usada por SSH


Red Hat advirtió a los usuarios que dejaran de usar inmediatamente sistemas que ejecutan versiones experimentales y de desarrollo de Fedora debido a una puerta trasera encontrada en las últimas bibliotecas y herramientas de compresión de datos de XZ Utils.

 



 Puerta trasera en software de compresión (liblzma) que afecta a OpenSSH 

Un ingeniero de Microsoft descubrió por casualidad una puerta trasera implantada en XZ Utils, una popular herramienta de sistemas Linux que, si hubiera sido explotada, podría haber traído consecuencias catastróficas a la seguridad de miles de equipos en todo el mundo. Un golpe de suerte que, sin dudas, ha evitado un sinfín de dolores de cabeza, pero que también ha expuesto una trama bastante turbia sobre las amenazas de ciberseguridad contra proyectos de código abierto.

  • Lo que el ingeniero descubrió por absoluta casualidad fue que XZ Utils había sido modificado para incluir código malicioso en sus versiones 5.6.0 y 5.6.1. 

Se ha incrustado una vulnerabilidad tipo "backdoor" (que permitiría un acceso al sistema infectado) en las últimas versiones de la librería de compresión liblzma, que es usada por las grandes distros de GNU/Linux en el paquete OpenSSH, que proporciona acceso a equipos remotos. Enlace al anuncio del desarrollador que ha encontrado la puerta trasera.

La puerta trasera en una utilidad ampliamente utilizada en Linux, conocida como xz Utils, que podría comprometer las conexiones SSH cifradas. Aunque la detección temprana ha evitado su inclusión en versiones de producción, y parece ser que se había trabajado con el autor de «la supuesta puerta trasera» en el upstream xz/liblzma que compromete el servidor ssh, según este foro. Aun así su existencia plantea preocupaciones de seguridad.

La utilidad de compresión xz Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, según Andrés Freund, el desarrollador que lo descubrió. Aunque no se tienen informes de que esas versiones se hayan incorporado a lanzamientos de producción para distribuciones de Linux importantes, tanto Red Hat como Debian informaron que las versiones beta recientemente publicadas usaban al menos una de las versiones con puerta trasera, específicamente en Fedora Rawhide y las distribuciones de prueba, inestables y experimentales de Debian. También se vio afectado un lanzamiento estable de Arch Linux. Sin embargo, esa distribución no se utiliza en sistemas de producción.

El viernes pasado, el ingeniero Andres Freund, de Microsoft, estaba realizando pruebas en un sistema basado en Debian, cuando notó algo extraño. El desarrollador descubrió que el rendimiento del protocolo SSH, o Secure Shell, que permite conectarse a servidores remotos de forma segura a través de internet, no era óptimo. Un análisis más profundo lo llevó a encontrar que estaba consumiendo más recursos de lo habitual en su CPU, y a detectar errores al ejecutar Valgrind, un software para depurar problemas de memoria y performance.

Si bien Freund no es un experto en ciberseguridad, las sospechas no se hicieron esperar. Al estudiar el asunto en más detalle, llegó a la conclusión de que se había topado con una puerta trasera implantada en XZ Utils, una herramienta muy popular en Linux para comprimir y descomprimir datos sin pérdida.

 


Sofisticada Puerta trasera

xz es un formato de compresión de datos de propósito general presente en casi todas las distribuciones de Linux, tanto en proyectos comunitarios como en distribuciones de productos comerciales. Básicamente, ayuda a comprimir formatos de archivos grandes en tamaños más pequeños y manejables para compartirlos mediante transferencias de archivos.

A continuación se explica cómo saber si el sistema está ejecutando la versión afectada:

xz --version

Si el resultado dice xz (XZ UTILs) 5.6.1 o liblzma 5.6.1, entonces se debe aplicar la actualización para su distribución (si está disponible), realizar un downgradexz 5.6.0 o 5.4.6 o deshabilitar directamente ssh por el momento.

El equipo de seguridad de Debian también emitió un aviso advirtiendo a los usuarios sobre el problema. El aviso dice que ninguna versión estable de Debian está utilizando los paquetes comprometidos y que XZ ha sido revertido al código original 5.4.5 en las distribuciones experimentales, inestables y de prueba de Debian afectadas. 

 


El código está presente en las versiones 5.6.0 de xz (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo). Si bien es grave, el impacto puede ser limitado. El código problemático se encuentra en las versiones más recientes de xz/liblzma, por lo que es posible que no se implemente tan ampliamente. Es menos probable que las distribuciones de Linux que aún no han lanzado las versiones más recientes se vean afectadas.

Por ahora las distribuciones afectadas son Debian SidFedora 41 y RawhideArch Linux 5.6.1x y NixoS unstable.

 


 

  • Red Hat: los paquetes vulnerables están presentes en Fedora 41 y Fedora Rawhide. Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Red Hat dice que los usuarios deberían dejar de usar inmediatamente las versiones afectadas hasta que la empresa haya tenido la oportunidad de cambiar la versión xz"Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Tenemos informes y evidencia de las inyecciones creadas con éxito en versiones del paquete xz 5.6.x creadas para Debian inestable (Sid). Otras distribuciones también pueden verse afectadas".
  • Debian Linux: ninguna versión estable de la distribución se ve afectada, pero los paquetes comprometidos formaban parte de las versiones de prueba, inestables y experimentales. Los usuarios deben actualizar xz-utils.
  • SUSE: hay una actualización disponible para openSUSE (Tumbleweed o MicroOS).
  • Kali Linux: si los sistemas se actualizaron entre el 26 y el 29 de marzo, los usuarios deben actualizar nuevamente para obtener la solución. Si la última actualización de Kali fue antes del día 26, esta puerta trasera no la afecta.
  • Alpine: versiones de xz 5.6.x.
  • Arch Linux: versiones de xz 5.6.x.
  • Pueden aparecer otras.

El ingeniero de software de Microsoft, Andrés Freund, descubrió el problema de seguridad mientras investigaba inicios de sesión SSH lentos en una máquina Linux que ejecutaba Debian Sid (la versión de desarrollo continuo de la distribución Debian).

En este momento no se ha demostrado que las compilaciones de Fedora Linux 40 estén comprometidas. Creemos que la inyección de código malicioso no tuvo efecto en estas compilaciones. Sin embargo, los usuarios de Fedora Linux 40 aún deben cambiar a una versión 5.4 para estar seguros. Los usuarios interesados pueden forzar la actualización siguiendo las instrucciones en https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266.

Sin embargo, no ha encontrado el propósito exacto del código malicioso agregado a las versiones 5.6.0 y 5.6.1 de XZ.

Red Hat ahora está rastreando este problema de seguridad de la cadena de suministro como CVE-2024-3094, le asignó una puntuación de gravedad crítica de 10/10 y volvió a las versiones 5.4.x de XZ en Fedora 40 beta.

El código malicioso está ofuscado y sólo se puede encontrar en el paquete de descarga completo, no en la distribución Git, que carece de la macro M4, que desencadena el proceso de compilación de la puerta trasera. Si la macro maliciosa está presente, los artefactos de la segunda etapa que se encuentran en el repositorio de Git se inyectan durante el tiempo de compilación.

"La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas, y sshd es el servicio que permite el acceso", dijo Red Hat. "En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota".

CISA también publicó un aviso advirtiendo a los desarrolladores y usuarios que bajen a una versión XZ no comprometida (es decir, 5.4.6 Estable) y busquen cualquier actividad maliciosa o sospechosa en sus sistemas.

Para la detección se puede utilizar este Script Bash creado por Andres Freund, descubridor del backdoor. 

Según las pistas que se han recabado durante el fin de semana, la puerta trasera que se implementó en esta herramienta de Linux fue producto de un trabajo de hormiga.

Los primeros registros de esto datan de 2021. Por entonces, uno o más usuarios operando bajo el usuario "JiaT75" comenzaron a presionar para hacerse cargo de continuar con el mantenimiento de esa utilidad. Según explican desde DoublePulsar, los aparentes piratas informáticos habrían usado "ingeniería social" para que el antiguo encargado del software les delegara su gestión.

 

Vulnerabilidad en Wall

Una vulnerabilidad en el comando "wall" del paquete util-linux que forma parte del sistema operativo Linux podría permitir que un atacante sin privilegios robe contraseñas o cambie el portapapeles de la víctima.

Registrado como CVE-2024-28085, el problema de seguridad ha sido denominado WallEscape y ha estado presente en todas las versiones del paquete durante los últimos 11 años hasta la 2.40 lanzada ayer.

Aunque la vulnerabilidad es un ejemplo interesante de cómo un atacante puede engañar a un usuario para que proporcione su contraseña de administrador, es probable que la explotación se limite a ciertos escenarios. El atacante necesita tener acceso a un servidor Linux que ya tenga varios usuarios conectados al mismo tiempo a través del terminal, como una universidad donde los estudiantes pueden conectarse para realizar una tarea.

El investigador de seguridad Skyler Ferrante descubrió WallEscape, que se describe como un comando de "neutralización inadecuada de secuencias de escape".

El comando "wall" normalmente se usa en sistemas Linux para transmitir mensajes a las terminales de todos los usuarios conectados al mismo sistema, como un servidor. Debido a que las secuencias de escape se filtran incorrectamente cuando se procesan entradas a través de argumentos de línea de comando, un usuario sin privilegios podría explotar la vulnerabilidad usando caracteres de control de escape para crear un mensaje SUDO falso en las terminales de otros usuarios y engañarlos para que escriban su contraseña de administrador.

El problema de seguridad puede explotarse bajo ciertas condiciones. Ferrante explica que la explotación es posible si la utilidad "mesg" está activa y el comando "wall" tiene permisos setgid.

El investigador señala que ambas condiciones están presentes en Ubuntu 22.04 LTS (Jammy Jellyfish) y Debian 12.5 (Bookworm), pero no en CentOS.

Se ha publicado un código de explotación de prueba de concepto para WallEscape para demostrar cómo un atacante podría aprovechar el problema.

Los administradores del sistema pueden mitigar CVE-2024-28085 inmediatamente eliminando los permisos setgid del comando "wall" o deshabilitando la funcionalidad de transmisión de mensajes usando el comando "mesg" para establecer su indicador en "n"



Fuentes:
https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html

https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.