Normalmente, cuando nos encontramos con un problema reportado de ciberseguridad, suelen ser casos de hackers que han intentado entrar en los sistemas de una compañía o institución. Aquí se suelen emplear ataques de ransomware, phishing o exploits de todo tipo para intentar entrar. Sin embargo, ahora nos encontramos con un suceso que ha ocurrido en el ámbito de la ciberseguridad que podría haber desencadenado una catástrofe. Un hacker estuvo planeando durante 2 años realizar un backdoor para tener acceso a las principales distribuciones de Linux, pero afortunadamente, un ingeniero de Microsoft se dio cuenta del problema inmediatamente y descubrió este agujero de seguridad antes de que fuese demasiado tarde.
Cada vez que utilizamos el PC para navegar por Internet y descargar archivos, hay que estar pendiente sobre que páginas visitamos y lo que descargamos. Si son páginas poco fiables, es probable que los archivos descargados acaben conteniendo malware. Si bien podemos evitar esto por nuestra cuenta y utilizando un antivirus, no estaremos completamente seguros. Hay otras formas en las que pueden entrar en nuestro sistema y no es que podamos hacer realmente nada por nuestra cuenta. Las vulnerabilidades de hardware y software son unas de ellas, al igual que los intentos de acceso por parte de hackers usando puertas traseras.
Un hacker logra implementar una backdoor que afecta a varias distros de Linux, pero un ingeniero de Microsoft lo descubre
Mediante una backdoor o puerta trasera, los hackers encuentran una brecha de seguridad por la que pueden acceder a los sistemas. Estas no son tan habituales de ver, pero son de gravedad alta, pues básicamente es una vía libre en nuestras defensas para que los atacantes puedan entrar e instalar software o ejecutar código malicioso. Vimos un suceso de este tipo con el firmware de las placas base GIGABYTE el año pasado, afectando a 271 modelos de placas de la marca.
En esta ocasión, tenemos una backdoor aún más peligrosa, pues afecta a casi todas las distros de Linux. Esto ocurrió cuando dos versiones de la herramienta XZ Utils (antes llamada LZMA Utils) fue atacada con código malicioso que permitía el acceso remoto tras romper la autenticación SSH. El autor es un hacker que estuvo planeando este ataque de backdoor desde hace dos años, pudiendo lograr acceso a la gran mayoría de PC con Linux. Sin embargo, su plan se fue al traste, pues fue pillado por un ingeniero de Microsoft llamado Andres Freund. Este detectó un pico de 500 ms de lag (algo inapreciable para la mayoría de personas en este caso) y fue a ver que ocurría.
Han eliminado los archivos del repositorio de GitHub que contenían el código malicioso
Fue el pasado viernes cuando el investigador de Microsoft descubrió esto y se ha denominado la vulnerabilidad CVE-2024-3094. Las versiones afectadas del software son la 5.6 y 5.6.1 de XZ Utils y la biblioteca liblmza. Estas se lanzaron en febrero y marzo, respectivamente y desde la web podemos ver links a otras noticias que hablan de ello. Gracias a detectarlo a tiempo, han logrado descubrir que este código malicioso proviene de una serie de cuatro commits de Project Tuukani en GitHub que fueron subidas por parte de un usuario conocido como "Jia Tan" (JiaT75).
GitHub, que es propiedad de Microsoft, eliminó el repositorio XZ Utils de Project Tuukani, acusándolo de una violación de los términos de servicio de GitHub. Tampoco se han reportado ataques o exploits desde entonces. Algunas de las distros de Linux afectadas por esta backdoor son Fedora Linux 40/41, Fedora Rawhide, Kali Linux, openSUSE Tumbleweed/MicroOS y versiones alpha de Debian. Ahora bien, hay distros que se libran como Red Hat Enterprise Linux, Debian Stable, Amazon Linux y SUSE Linux Enterprise/Leap.
FUENTE ORIGINAL: Elchapuzasinformatico.com
