Aug 12, 2025Ravie Lakshmananmalware / Container Security New Research ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año después del descubrimiento del incidente. Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes base infectadas, propagando efectivamente la infección aún más de manera transitiva, dijo Binarly Research en un informe compartido con Hacker News. La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software. El evento de la cadena de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la alarma en una puerta trasera incrustada dentro de las versiones de XZ Utils 5.6.0 y 5.6.1. Un análisis posterior del código malicioso y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un acceso remoto no autorizado y habilitar la ejecución de cargas útiles arbitrarias a través de SSH. Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal manera que se activó cuando un cliente interactúa con el servidor SSH infectado. Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo de IFUNC del GLIBC, el código malicioso permitió que un atacante que poseía una clave privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota, «explicó binarly. Responsabilidades, señalización de la naturaleza meticulosa del ataque. de 12 imágenes de Docker de Debian que contienen una de las imágenes de XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas. Dejar las imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red con la red conllevan un riesgo de seguridad significativo, a pesar de los criterios requeridos para la explotación exitosa de la red al dispositivo infectado con el servicio SSH en ejecución «, el incidente de la puerta trasera XZ demuestra que incluso el código malicioso de breve puede permanecer sin tener en cuenta en el contenedor oficial durante un tiempo largo. La forma en que estos artefactos pueden persistir y propagar silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de versión «.