Inyección de código malicioso en la librería XZ Utils
- XZ Utils, versiones 5.6.0 y 5.6.1.
- Paquetes XZ de ArchLinux, versiones anteriores a 5.6.1-2 (concretamente 5.6.0-1 y 5.6.1-1).
- Fedora Linux 40, se recomienda utilizar la versión 5.4.
- Kali Linux, entre 26 y 29 de marzo.
- OpenSUSE Tumbleweed y openSUSE MicroOS, entre 7 y 28 de marzo.
- Versiones experimentales e inestables de Debian, desde 5.5.1alpha-0.1 hasta 5.6.1-1.
- Paquetes de XZ Utils 5.6.x creados en Debian inestable. Se recomienda a los usuarios de otras distribuciones consultar con sus distribuidores.
Para comprobar la versión de XZ Utils instalada, se pueden ejecutar los comandos proporcionados por JFROG.
Más información sobre las versiones afectadas en el blog de JFROG.
Adicionalmente, JFROG ha publicado una herramienta para detectar si la máquina local es vulnerable.
Andres Freund, ingeniero de software de Microsoft, ha descubierto una vulnerabilidad crítica en XZ Utils, una librería de compresión de datos ampliamente utilizada en varias distribuciones de Linux. En las versiones 5.6.0 y 5.6.1 se introdujo código malicioso. XZ Utils que incluye la librería liblzma utilizado por varios software, incluyendo sshd que es una de las técnicas conocidas para abusar del backdoor instalado.
Se recomienda cambiar la versión de XZ Utils a una versión no afectada, como por ejemplo 5.4.6, y después reiniciar el equipo o el servidor OpenSSH para eliminar el código de la memoria.
La utilidad de compresión XZ Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, que podría permitir el acceso remoto y no autorizado a través de SSH. El payload malicioso se ejecutaba en el mismo proceso que el servidor OpenSSH (SSHD) y modificaba las rutinas de descifrado en el servidor OpenSSH, para así permitir a un atacante remoto, con una clave privada específica, enviar payloads arbitrarios a través de SSH, que se ejecutarán antes de la comprobación de autenticación, secuestrando el equipo afectado. Se ha asignado el identificador CVE-2024-3094 para esta vulnerabilidad.