xz Utils Backdoor El mundo de la ciberseguridad tuvo mucha suerte la semana pasada. Un ingeniero de Microsoft descubrió casi accidentalmente una puerta trasera colocada intencionalmente en xz Utils, una utilidad de compresión de código abierto, semanas antes de que se hubiera incorporado tanto a Debian como a Red Hat Linux. De ArsTehnica: El código malicioso agregado a las versiones 5.6.0 y 5.6.1 de xz Utils modificó la forma en que funciona el software. La puerta trasera manipuló sshd, el archivo ejecutable utilizado para realizar conexiones SSH remotas. Cualquiera que posea una clave de cifrado predeterminada podría guardar cualquier código de su elección en un certificado de inicio de sesión SSH, cargarlo y ejecutarlo en el dispositivo con puerta trasera. En realidad, nadie ha visto el código cargado, por lo que no se sabe qué código planeaba ejecutar el atacante. En teoría, el código podría permitir casi cualquier cosa, incluido el robo de claves de cifrado o la instalación de malware. Era una puerta trasera increíblemente compleja. Su instalación fue un proceso de varios años que parece haber involucrado ingeniería social, el único ingeniero no remunerado a cargo de la empresa de servicios públicos. Más de ArsTechnica: En 2021, alguien con el nombre de usuario JiaT75 hizo su primer compromiso conocido con un proyecto de código abierto. En retrospectiva, el cambio en el proyecto libarchive es sospechoso, porque reemplazó la función safe_fprint con una variante que durante mucho tiempo se consideró menos segura. Nadie se dio cuenta en ese momento. Al año siguiente, JiaT75 envió un parche a la lista de correo de xz Utils y, casi de inmediato, un participante nunca antes visto llamado Jigar Kumar se unió a la discusión y argumentó que Lasse Collin, quien mantenía xz Utils desde hacía mucho tiempo, no había sido actualizar el software con frecuencia o lo suficientemente rápido. Kumar, con el apoyo de Dennis Ens y varias otras personas que nunca habían estado presentes en la lista, presionó a Collin para que contratara a un desarrollador adicional para mantener el proyecto. Hay mucho más. La sofisticación tanto del exploit como del proceso para incorporarlo al proyecto de software grita operación de estado-nación. Es una reminiscencia de Solar Winds, aunque (1) habría sido mucho, mucho peor, y (2) tuvimos mucha, mucha suerte. Simplemente no creo que este haya sido el único intento de introducir una puerta trasera en una pieza crítica de software de Internet, ya sea de código cerrado o de código abierto. Dada la suerte que tuvimos al detectarlo, creo que este tipo de operación ha tenido éxito en el pasado. Simplemente tenemos que dejar de construir nuestra infraestructura nacional crítica sobre bibliotecas de software aleatorias administradas por individuos solitarios, distraídos y no remunerados (o algo peor). Otro explicador. Etiquetas: puertas traseras, ciberseguridad, hacking, malware, código abierto, ingeniería social Publicado el 2 de abril de 2024 a las 14:50 • 12 comentarios

Source link