Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
▼
marzo
(Total:
123
)
- Encuentran puerta trasera en biblioteca XZ en Linu...
- Twitter ha perdido a casi el 25% de sus usuarios
- Los trucos para acelerar rápida y fácilmente tu Ra...
- MSI SPATIUM M580 FROZR, el SSD PCIe 5.0 con hasta ...
- Copilot de Microsoft se ejecutará de forma local e...
- Construyen la cámara más rápida del mundo: 156,3 b...
- Investigadores belgas han estado entrenando una IA...
- "Es como Amazon en esteroides": cómo funciona Temu...
- Robo de cuentas de Apple mediante bombardeo MFA y ...
- Android 15 permitirá compartir la señal de audio v...
- Samsung 990 EVO vs PRO: comparación y diferencias ...
- WhatsApp mejorará su editor de fotos con funciones...
- El trazado de rayos de próxima generación mejorará...
- Microsoft publica un parche de emergencia para los...
- Europa investiga a Apple, Amazon, Meta y Google po...
- China prohíbe el uso de CPU AMD e Intel en PC gube...
- Las operadoras Españolas aún no han recibido la or...
- Vulnerabilidad incorregible en los procesadores Ap...
- Desmantelan los servidores en Alemania del mercado...
- Continúan los anuncios falsos de Broncano y Sobera...
- MacOS 14.4 causa el caos, los programas se cierran...
- Detenidas ocho personas por almacenar y distribuir...
- Android 15 permitirá enviar y recibir SMS vía saté...
- Estados Unidos demanda a Apple por crear un monopo...
- Web del MIT encuentra la IA que necesites
- Vídeo de Nvidia es el primero donde la IA apunta d...
- Cinco detenidos por robar 3,5 millones de euros co...
- La basura electrónica crece más rápido de lo que p...
- Loop DoS: nuevo ataque de DDoS basado en UDP
- Un grave fallo de seguridad del gobierno francés e...
- Microsoft anuncia Office 2024
- Francia multa a Google con 250 millones de euros p...
- Microsoft contrata a Mustafa Suleyman, cofundador ...
- Elon Musk reconoce tomar ketamina para salir de un...
- La inteligencia artificial superará a los humanos ...
- Descubren cómo romper la seguridad de ChatGPT para...
- Tesla pierde ya 600.000 millones en bolsa y sus pr...
- Confirman la condena del informático que dejó una ...
- Hackean a jugadores profesionales de ‘Apex Legends’
- YouTube avisará si un video realista fue creado co...
- NVIDIA presenta Blackwell GB200, su nuevo “superch...
- Llegan los filtros de belleza de Google Meet a su ...
- Sony PlasyStation PS5 Pro
- Historia de las tarjetas gráficas: los inicios de ...
- Detenidos el padre y el novio de una menor por gra...
- Vulnerabilidad de Kubernetes que permite la adquis...
- VLC supera los 5.000 millones de descargas entre e...
- Microsoft trabaja en una función para que escribas...
- Fluorescentes y luces de mala calidad pueden bajar...
- En España los ilustradores exigen a las editoriale...
- Asus Zenfone 11 Ultra
- WebTunnel Bridge, nueva herramienta de Tor contra ...
- Historia del nacimiento de Kazaa después del éxito...
- WPA3: el protocolo de seguridad más seguro para tu...
- Google tiene un agente de IA que aprende a jugar a...
- Cómo compartir archivos confidenciales por interne...
- En España un joven de Murcia robó 40 millones de m...
- Speedometer 3 es la nueva versión del benchmark má...
- OpenAI presenta Sora, la IA que crea vídeos ultrar...
- El Parlamento Europeo aprueba la Ley de inteligenc...
- Denuncian estafas para vender criptomonedas que us...
- ChatGPT, Claude 3 o Gemini Ultra: ¿cuál es la mejo...
- El móvil más barato de Xiaomi llega a España: Redm...
- Más de 12 millones de claves y secretos filtrados ...
- Taringa dice adiós tras 20 años de historia
- Airbnb prohíbe las cámaras de seguridad en interiores
- Bobby Kotick (Activision) quiere comprar TikTok co...
- Distrobox crea imágenes y ejecuta en contenedores ...
- Un informante de Boeing que señaló fallos de segur...
- Elon Musk va a por ChatGPT: su chatbot Grok será d...
- Mejores sistemas operativos para dispositivos NAS
- Actualizaciones en Windows 11 sin reiniciar
- Olivia Casta, la modelo que no existe
- Las ciberestafas ya son el segundo delito más denu...
- Donald Trump se opone al bloqueo de TikTok en EE. UU.
- Aumenta el uso de malware en ficheros PDF
- Microsoft confirma que está bajo el ataque de un g...
- Firefly llega a Adobe Express para Android e iOS
- Ciberdelincuentes aprovechan vulnerabilidades 0-da...
- Fallece Akira Toriyama, creador de series míticas ...
- Alguien se enfadó tanto con que el emulador de Swi...
- Nothing entra en la gama media con el Phone 2A, di...
- Actualizaciones críticas para VMware ESXi, Worksta...
- Microsoft y OpenAI publican una investigación conj...
- Filtrados millones de códigos de verificación de G...
- Un ingeniero de Microsoft advierte que la intelige...
- Haiper, la alternativa gratuita a Sora que mete mi...
- HBO Max prohibirá "enérgicamente" compartir cuentas
- OpenAI tacha de hipócrita a Elon Musk: quería el c...
- Apple trabaja en un MacBook plegable de 20 pulgada...
- Apple cancela la cuenta de desarrollador de Epic G...
- AntiSPAM con SpamAssassin
- En España será ilegal fotocopiar el DNI (Documento...
- Worldcoin ya es ilegal en España: la AEPD bloquea ...
- Vulnerabilidades en los paquetes de software de có...
- La Casa Blanca pidió a la industria que dejara de ...
- Windows 11 abandona el subsistema de apps para And...
- suyu: Yuzu resurge de sus cenizas en otra app sin ...
- Truco para mejorar el rendimiento del Explorador ...
- Claude 3: la nueva IA capaz de superar a GPT-4 y G...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Encuentran puerta trasera en biblioteca XZ en Linux usada por SSH
Red Hat advirtió a los usuarios que dejaran de usar inmediatamente sistemas que ejecutan versiones experimentales y de desarrollo de Fedora debido a una puerta trasera encontrada en las últimas bibliotecas y herramientas de compresión de datos de XZ Utils.
Puerta trasera en software de compresión (liblzma) que afecta a OpenSSH
Un ingeniero de Microsoft descubrió por casualidad una puerta trasera implantada en XZ Utils, una popular herramienta de sistemas Linux que, si hubiera sido explotada, podría haber traído consecuencias catastróficas a la seguridad de miles de equipos en todo el mundo. Un golpe de suerte que, sin dudas, ha evitado un sinfín de dolores de cabeza, pero que también ha expuesto una trama bastante turbia sobre las amenazas de ciberseguridad contra proyectos de código abierto.
- Lo que el ingeniero descubrió por absoluta casualidad fue que XZ Utils había sido modificado para incluir código malicioso en sus versiones 5.6.0 y 5.6.1.
Se ha incrustado una vulnerabilidad tipo "backdoor" (que permitiría un acceso al sistema infectado) en las últimas versiones de la librería de compresión liblzma, que es usada por las grandes distros de GNU/Linux en el paquete OpenSSH, que proporciona acceso a equipos remotos. Enlace al anuncio del desarrollador que ha encontrado la puerta trasera.
La puerta trasera en una utilidad ampliamente utilizada en Linux, conocida como xz Utils, que podría comprometer las conexiones SSH cifradas.
Aunque la detección temprana ha evitado su inclusión en versiones de
producción, y parece ser que se había trabajado con el autor de «la
supuesta puerta trasera» en el upstream xz/liblzma que compromete el
servidor ssh, según este foro. Aun así su existencia plantea preocupaciones de seguridad.
La utilidad de compresión xz Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1,
según Andrés Freund, el desarrollador que lo descubrió. Aunque no se
tienen informes de que esas versiones se hayan incorporado a
lanzamientos de producción para distribuciones de Linux importantes,
tanto Red Hat como Debian informaron que las versiones
beta recientemente publicadas usaban al menos una de las versiones con
puerta trasera, específicamente en Fedora Rawhide y las distribuciones de prueba, inestables y experimentales de Debian. También se vio afectado un lanzamiento estable de Arch Linux. Sin embargo, esa distribución no se utiliza en sistemas de producción.
El viernes pasado, el ingeniero Andres Freund, de Microsoft, estaba realizando pruebas en un sistema basado en Debian, cuando notó algo extraño. El desarrollador descubrió que el rendimiento del protocolo SSH, o Secure Shell, que permite conectarse a servidores remotos de forma segura a través de internet, no era óptimo. Un análisis más profundo lo llevó a encontrar que estaba consumiendo más recursos de lo habitual en su CPU, y a detectar errores al ejecutar Valgrind, un software para depurar problemas de memoria y performance.
Si bien Freund no es un experto en ciberseguridad, las sospechas no se hicieron esperar. Al estudiar el asunto en más detalle, llegó a la conclusión de que se había topado con una puerta trasera implantada en XZ Utils, una herramienta muy popular en Linux para comprimir y descomprimir datos sin pérdida.
Sofisticada Puerta trasera
xz es un formato de compresión de datos de propósito general presente en casi todas las distribuciones de Linux, tanto en proyectos comunitarios como en distribuciones de productos comerciales. Básicamente, ayuda a comprimir formatos de archivos grandes en tamaños más pequeños y manejables para compartirlos mediante transferencias de archivos.
A continuación se explica cómo saber si el sistema está ejecutando la versión afectada:
xz --version
Si el resultado dice xz (XZ UTILs) 5.6.1 o liblzma 5.6.1, entonces se debe aplicar la actualización para su distribución (si está disponible), realizar un downgrade a xz 5.6.0 o 5.4.6 o deshabilitar directamente ssh por el momento.
El equipo de seguridad de Debian también emitió un aviso advirtiendo a los usuarios sobre el problema. El aviso dice que ninguna versión estable de Debian está utilizando los paquetes comprometidos y que XZ ha sido revertido al código original 5.4.5 en las distribuciones experimentales, inestables y de prueba de Debian afectadas.
El código está presente en las versiones 5.6.0 de xz (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo). Si bien es grave, el impacto puede ser limitado. El código problemático se encuentra en las versiones más recientes de xz/liblzma, por lo que es posible que no se implemente tan ampliamente. Es menos probable que las distribuciones de Linux que aún no han lanzado las versiones más recientes se vean afectadas.
Por ahora las distribuciones afectadas son Debian Sid, Fedora 41 y Rawhide, Arch Linux 5.6.1x y NixoS unstable.
- Red Hat: los paquetes vulnerables están presentes en Fedora 41 y Fedora Rawhide. Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Red Hat dice que los usuarios deberían dejar de usar inmediatamente las versiones afectadas hasta que la empresa haya tenido la oportunidad de cambiar la versión xz. "Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Tenemos informes y evidencia de las inyecciones creadas con éxito en versiones del paquete xz 5.6.x creadas para Debian inestable (Sid). Otras distribuciones también pueden verse afectadas".
- Debian Linux: ninguna versión estable de la distribución se ve afectada, pero los paquetes comprometidos formaban parte de las versiones de prueba, inestables y experimentales. Los usuarios deben actualizar xz-utils.
- SUSE: hay una actualización disponible para openSUSE (Tumbleweed o MicroOS).
- Kali Linux: si los sistemas se actualizaron entre el 26 y el 29 de marzo, los usuarios deben actualizar nuevamente para obtener la solución. Si la última actualización de Kali fue antes del día 26, esta puerta trasera no la afecta.
- Alpine: versiones de xz 5.6.x.
- Arch Linux: versiones de xz 5.6.x.
- Pueden aparecer otras.
El ingeniero de software de Microsoft, Andrés Freund, descubrió el problema de seguridad mientras investigaba inicios de sesión SSH lentos en una máquina Linux que ejecutaba Debian Sid (la versión de desarrollo continuo de la distribución Debian).
En este momento no se ha demostrado que las compilaciones de Fedora Linux 40 estén comprometidas. Creemos que la inyección de código malicioso no tuvo efecto en estas compilaciones. Sin embargo, los usuarios de Fedora Linux 40 aún deben cambiar a una versión 5.4 para estar seguros. Los usuarios interesados pueden forzar la actualización siguiendo las instrucciones en https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266.
Sin embargo, no ha encontrado el propósito exacto del código malicioso agregado a las versiones 5.6.0 y 5.6.1 de XZ.
Red Hat ahora está rastreando este problema de seguridad de la cadena de suministro como CVE-2024-3094, le asignó una puntuación de gravedad crítica de 10/10 y volvió a las versiones 5.4.x de XZ en Fedora 40 beta.
El código malicioso está ofuscado y sólo se puede encontrar en el paquete de descarga completo, no en la distribución Git, que carece de la macro M4, que desencadena el proceso de compilación de la puerta trasera. Si la macro maliciosa está presente, los artefactos de la segunda etapa que se encuentran en el repositorio de Git se inyectan durante el tiempo de compilación.
"La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas, y sshd es el servicio que permite el acceso", dijo Red Hat. "En las circunstancias adecuadas, esta interferencia podría permitir que un actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a todo el sistema de forma remota".
CISA también publicó un aviso advirtiendo a los desarrolladores y usuarios que bajen a una versión XZ no comprometida (es decir, 5.4.6 Estable) y busquen cualquier actividad maliciosa o sospechosa en sus sistemas.
Para la detección se puede utilizar este Script Bash creado por Andres Freund, descubridor del backdoor.
Según las pistas que se han recabado durante el fin de semana, la puerta trasera que se implementó en esta herramienta de Linux fue producto de un trabajo de hormiga.
Los primeros registros de esto datan de 2021. Por entonces, uno o más usuarios operando bajo el usuario "JiaT75" comenzaron a presionar para hacerse cargo de continuar con el mantenimiento de esa utilidad. Según explican desde DoublePulsar, los aparentes piratas informáticos habrían usado "ingeniería social" para que el antiguo encargado del software les delegara su gestión.
Vulnerabilidad en Wall
Una vulnerabilidad en el comando "wall" del paquete util-linux que forma parte del sistema operativo Linux podría permitir que un atacante sin privilegios robe contraseñas o cambie el portapapeles de la víctima.
Registrado como CVE-2024-28085, el problema de seguridad ha sido denominado WallEscape y ha estado presente en todas las versiones del paquete durante los últimos 11 años hasta la 2.40 lanzada ayer.
Aunque la vulnerabilidad es un ejemplo interesante de cómo un atacante puede engañar a un usuario para que proporcione su contraseña de administrador, es probable que la explotación se limite a ciertos escenarios. El atacante necesita tener acceso a un servidor Linux que ya tenga varios usuarios conectados al mismo tiempo a través del terminal, como una universidad donde los estudiantes pueden conectarse para realizar una tarea.
El investigador de seguridad Skyler Ferrante descubrió WallEscape, que se describe como un comando de "neutralización inadecuada de secuencias de escape".
El comando "wall" normalmente se usa en sistemas Linux para transmitir mensajes a las terminales de todos los usuarios conectados al mismo sistema, como un servidor. Debido a que las secuencias de escape se filtran incorrectamente cuando se procesan entradas a través de argumentos de línea de comando, un usuario sin privilegios podría explotar la vulnerabilidad usando caracteres de control de escape para crear un mensaje SUDO falso en las terminales de otros usuarios y engañarlos para que escriban su contraseña de administrador.
El problema de seguridad puede explotarse bajo ciertas condiciones. Ferrante explica que la explotación es posible si la utilidad "mesg" está activa y el comando "wall" tiene permisos setgid.
El investigador señala que ambas condiciones están presentes en Ubuntu 22.04 LTS (Jammy Jellyfish) y Debian 12.5 (Bookworm), pero no en CentOS.
Se ha publicado un código de explotación de prueba de concepto para WallEscape para demostrar cómo un atacante podría aprovechar el problema.
Los administradores del sistema pueden mitigar CVE-2024-28085 inmediatamente eliminando los permisos setgid del comando "wall" o deshabilitando la funcionalidad de transmisión de mensajes usando el comando "mesg" para establecer su indicador en "n".
Fuentes:
https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.