Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección de código malicioso en la librería XZ Utils

Fecha de publicación 01/04/2024
Identificador
INCIBE-2024-0162
Importancia
5 - Crítica
Recursos Afectados
  • XZ Utils, versiones 5.6.0 y 5.6.1.
  • Paquetes XZ de ArchLinux, versiones anteriores a 5.6.1-2 (concretamente 5.6.0-1 y 5.6.1-1).
  • Fedora Linux 40, se recomienda utilizar la versión 5.4.
  • Kali Linux, entre 26 y 29 de marzo.
  • OpenSUSE Tumbleweed y openSUSE MicroOS, entre 7 y 28 de marzo.
  • Versiones experimentales e inestables de Debian, desde 5.5.1alpha-0.1 hasta 5.6.1-1.
  • Paquetes de XZ Utils 5.6.x creados en Debian inestable. Se recomienda a los usuarios de otras distribuciones consultar con sus distribuidores.

Para comprobar la versión de XZ Utils instalada, se pueden ejecutar los comandos proporcionados por JFROG.

Más información sobre las versiones afectadas en el blog de JFROG.

Adicionalmente, JFROG ha publicado una herramienta para detectar si la máquina local es vulnerable.

Descripción

Andres Freund, ingeniero de software de Microsoft, ha descubierto una vulnerabilidad crítica en XZ Utils, una librería de compresión de datos ampliamente utilizada en varias distribuciones de Linux. En las versiones 5.6.0 y 5.6.1 se introdujo código malicioso. XZ Utils que incluye la librería liblzma utilizado por varios software, incluyendo sshd que es una de las técnicas conocidas para abusar del backdoor instalado.

Solución

Se recomienda cambiar la versión de XZ Utils a una versión no afectada, como por ejemplo 5.4.6, y después reiniciar el equipo o el servidor OpenSSH para eliminar el código de la memoria.

Detalle

La utilidad de compresión XZ Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, que podría permitir el acceso remoto y no autorizado a través de SSH. El payload malicioso se ejecutaba en el mismo proceso que el servidor OpenSSH (SSHD) y modificaba las rutinas de descifrado en el servidor OpenSSH, para así permitir a un atacante remoto, con una clave privada específica, enviar payloads arbitrarios a través de SSH, que se ejecutarán antes de la comprobación de autenticación, secuestrando el equipo afectado. Se ha asignado el identificador CVE-2024-3094 para esta vulnerabilidad.