Un actor de amenazas pasó silenciosamente los últimos dos años integrándose en el equipo central de mantenedores de XZ Utils, un compresor de datos de línea de comandos de software gratuito ampliamente utilizado en sistemas Linux. El atacante logró lentamente integrar una puerta trasera en el software que fue diseñada para interferir con SSHD y permitir la ejecución remota de código a través de un certificado de inicio de sesión SSH. La puerta trasera fue descubierta unos días antes de ser lanzada en varios sistemas Linux en todo el mundo. Se sospecha que el actor de la amenaza es un desarrollador con el nombre de Jian Tan o que lo utiliza. Varios expertos en seguridad creen que este ataque a la cadena de suministro podría estar patrocinado por el estado. ¿Qué es XZ Utils y qué es la puerta trasera XZ? XZ Utils y su biblioteca subyacente liblzma es una herramienta de software gratuita que implementa XZ y LZMA, que son dos algoritmos de compresión/descompresión ampliamente utilizados en sistemas basados en Unix, incluidos los sistemas Linux. Muchas operaciones en esos sistemas utilizan XZ Utils para comprimir y descomprimir datos. La puerta trasera CVE-2024-3094 que se encuentra en XZ Utils se implementó para interferir con la autenticación en SSHD, el software del servidor OpenSSH que maneja conexiones SSH. La puerta trasera permitió a un atacante ejecutar código remoto a través de un certificado de inicio de sesión SSH. Solo las versiones 5.6.0 y 5.6.1 de XZ Utils se ven afectadas. Cómo se implementó cautelosamente la puerta trasera XZ durante más de años El 29 de marzo de 2024, el ingeniero de software de Microsoft, Andrés Freund, informó el descubrimiento de la puerta trasera. Lo encontró cuando se interesó en el comportamiento extraño de una instalación sid de Debian, como los inicios de sesión SSH que consumen mucha CPU y errores de Valgrind, y decidió analizar los síntomas en profundidad. Freund explicó que el descubrimiento de la puerta trasera en XZ fue cuestión de suerte, ya que «realmente requirió muchas coincidencias». Sin embargo, parece que la implementación de la puerta trasera ha sido un proceso muy silencioso que duró unos dos años. En 2021, un desarrollador llamado Jian Tan, nombre de usuario JiaT75, apareció de la nada para comenzar a trabajar en el código de XZ Utils, lo cual no es inusual porque los desarrolladores de software libre a menudo trabajan juntos para actualizar el código. Tan contribuyó con frecuencia al proyecto XZ desde finales de 2021, generando poco a poco confianza en la comunidad. En mayo de 2022, un usuario desconocido que utilizaba el nombre falso de Dennis Ens se quejó en la lista de correo de XZ de que la actualización del software no era satisfactoria. Otro usuario desconocido, Jigar Kumar, entró en la discusión dos veces para presionar al desarrollador principal de XZ Utils, Lasse Collin, para que agregara un mantenedor al proyecto. «El progreso no se producirá hasta que haya un nuevo responsable», escribió Jigar Kumar. “¿Por qué esperar hasta la 5.4.0 para cambiar de mantenedor? ¿Por qué retrasar lo que necesita su repositorio? Mientras tanto, Collin expresó que “Jia Tan me ha ayudado a salir de la lista de XZ Utils y podría tener un papel más importante en el futuro, al menos con XZ Utils. Está claro que mis recursos son demasiado limitados (de ahí la gran cantidad de correos electrónicos que esperan respuesta), por lo que algo tiene que cambiar a largo plazo”. (Collin escribió Jia en su mensaje, mientras que otros mensajes hacen referencia a Jian. Para aumentar la confusión, el apodo de Jian es JiaT75). En los meses siguientes, Tan se involucró cada vez más en XZ Utils y se convirtió en co-mantenedor del proyecto. En febrero de 2024, Tan emitió confirmaciones para las versiones 5.6.0 y 5.6.1 de XZ Utils, las cuales contenían la puerta trasera. También es interesante señalar que en julio de 2023, Tan solicitó desactivar ifunc (función indirecta de GNU) en oss-fuzz, una herramienta pública creada para detectar vulnerabilidades de software. Esa operación probablemente se realizó para permitir que la puerta trasera en XZ pasara desapercibida una vez que se lanzara, ya que la puerta trasera hace uso de esa función para lograr sus objetivos. Finalmente, el atacante se ha puesto en contacto con varios responsables de diferentes distribuciones de Linux para incluir las versiones con puerta trasera de XZ Utils en sus propias distribuciones. Richard WM Jones de RedHat escribió sobre esto en un foro: “Muy molesto: el aparente autor de la puerta trasera estuvo en comunicación conmigo durante varias semanas tratando de agregar xz 5.6.x a Fedora 40 y 41 debido a sus ‘excelentes características nuevas’. ‘. Incluso trabajamos con él para solucionar el problema de valgrind (que ahora resulta que fue causado por la puerta trasera que había agregado). Anoche tuvimos que correr para solucionar el problema después de una ruptura involuntaria del embargo. Ha sido parte del proyecto xz durante 2 años, agregando todo tipo de archivos binarios de prueba y, para ser honesto, con este nivel de sofisticación, sospecharía de versiones aún más antiguas de xz hasta que se demuestre lo contrario”. Tan también intentó incluirlo en Ubuntu. Cobertura de seguridad de lectura obligada Puerta trasera XZ: un ataque altamente técnico Además de la ingeniería social altamente elaborada tratada anteriormente en este artículo, la puerta trasera en sí es muy compleja. El investigador senior de amenazas de Microsoft, Thomas Roccia, diseñó y publicó una infografía para mostrar toda la operación que condujo a CVE-2024-3094 (Figura A). Figura A Toda la operación CVE-2024-3094. Imagen: Thomas Roccia La puerta trasera se compone de varias partes que se han incluido en múltiples confirmaciones en XZ Utils GitHub, descritas en profundidad por Freund. Gynvael Coldwind, director general de HexArcana Cybersecurity GmbH, una empresa de ciberseguridad que ofrece servicios de consultoría y cursos, escribió en un análisis detallado de la puerta trasera que “alguien se esforzó mucho para que esto tuviera un aspecto bastante inocente y estuviera decentemente oculto. Desde archivos de prueba binarios utilizados para almacenar carga útil hasta tallado de archivos, cifrados de sustitución y una variante RC4 implementada en AWK, todo hecho con herramientas de línea de comandos estándar. Y todo esto en 3 etapas de ejecución, y con un sistema de ‘extensión’ para preparar las cosas para el futuro y no tener que cambiar los archivos binarios de prueba nuevamente”. DESCARGAR: Glosario rápido de código abierto de TechRepublic Premium Martin Zugec, director de soluciones técnicas de Bitdefender, dijo en un comunicado proporcionado a TechRepublic que “esto parece ser un ataque plurianual meticulosamente planificado, posiblemente respaldado por un actor estatal. Teniendo en cuenta los enormes esfuerzos invertidos y la baja prevalencia de sistemas vulnerables que estamos viendo, los actores de amenazas responsables deben estar extremadamente descontentos en este momento porque su nueva arma fue descubierta antes de que pudiera desplegarse ampliamente”. ¿Qué sistemas operativos se ven afectados por la puerta trasera XZ? Gracias al descubrimiento de Freund, el ataque fue detenido antes de extenderse a mayor escala. La empresa de ciberseguridad Tenable expuso los siguientes sistemas operativos que se sabe que están afectados por la puerta trasera XZ: Fedora Rawhide. Fedora 40 Beta. Fedora 41. Pruebas de Debian, distribuciones inestables y experimentales versiones 5.5.1alpha-01 a 5.6.1-1. openSUSE Tumbleweed. openSUSE MicroOS. KaliLinux. Arco Linux. En una publicación de blog, Red Hat informó que ninguna versión de Red Hat Enterprise Linux se ve afectada por CVE-2024-3094. Debian indicó que ninguna versión estable de la distribución se vio afectada y Ubuntu publicó que ninguna versión publicada de Ubuntu se vio afectada. El administrador de paquetes homebrew de MacOS revirtió XZ de 5.6.x a 5.4.6, una versión más antigua pero segura. Bo Anderson, mantenedor y miembro del comité directivo técnico de Homebrew, declaró que Homebrew no “… cree que las compilaciones de Homebrew hayan sido comprometidas (la puerta trasera solo se aplica a las compilaciones deb y rpm) pero 5.6.x está siendo tratado como si ya no fuera confiable y como precaución están forzando rebajas a 5.4.6”. Cómo mitigar y protegerse de esta amenaza de puerta trasera de XZ. Es posible que más sistemas se vean afectados, especialmente aquellos en los que los desarrolladores compilaron las versiones vulnerables de XZ. La empresa de seguridad Binarly ofrece una herramienta de detección en línea que podría usarse para probar sistemas y ver si están afectados por la puerta trasera XZ. La versión de XZ debe comprobarse cuidadosamente, ya que las versiones 5.6.0 y 5.6.1 contienen la puerta trasera. Se recomienda volver a una versión segura anterior conocida de XZ Utils, como 5.4. Los ataques a la cadena de suministro de software están aumentando Como se informó anteriormente en TechRepublic, los actores de amenazas utilizan cada vez más los ataques a la cadena de suministro de software. Sin embargo, los ataques habituales a la cadena de suministro de software consisten principalmente en lograr comprometer una cuenta clave en el proceso de desarrollo de software y utilizar la cuenta para enviar contenido malicioso a software legítimo, que a menudo se detecta con bastante rapidez. En el caso de XZ Utils, es muy diferente porque el actor de la amenaza logró cuidadosamente ganarse la confianza de los desarrolladores legítimos y convertirse en uno de los mantenedores de la herramienta, lo que le permitió introducir lentamente diferentes partes vulnerables del código en el software sin que nadie se diera cuenta. Los ataques a la cadena de suministro de software no son las únicas amenazas crecientes; También están aumentando otros ataques a la cadena de suministro basados en productos de TI. Por lo tanto, las empresas deben asegurarse de que se tenga en cuenta a terceros en el seguimiento de la superficie de ataque. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Etiqueta: sombrero rojo
La posición del Reino Unido como centro de servicios financieros lo coloca a la cabeza en la automatización de TI en toda la empresa, afirma Red Hat. Pero la escasez de habilidades sigue siendo un problema para todos los líderes de TI encuestados. Según una nueva encuesta de Red Had, más de una cuarta parte de las empresas del Reino Unido han automatizado procesos de TI en toda la organización, lo que las sitúa por delante de sus homólogos europeos en Alemania (18%), España (16%) y Francia (12%). El informe de Red Hat, Prosperando a través del cambio con la automatización de TI en toda la empresa, encuestó a 1200 líderes de TI en los cuatro países antes mencionados sobre el papel de la automatización en sus negocios y los desafíos que enfrentaron al adoptar nuevas tecnologías. Encontró que el 27% de las empresas del Reino Unido han logrado la “automatización de toda la empresa”, definida por Red Hat como la automatización de los procesos de TI más valiosos, como configuraciones de red, reglas de firewall, políticas de seguridad y orquestación de la nube. Esto se comparó con solo el 18% de los líderes de TI (incluidos gerentes de TI, directores de TI, CTO y CIO) en todas las regiones que habían logrado lo mismo. Saltar a: Reino Unido reforzado por su condición de centro financiero global Richard Henshall, director de gestión de productos de la plataforma de automatización Ansible de Red Hat, atribuyó la posición del Reino Unido como “centro global de servicios financieros” a su progreso en el logro de la automatización en toda la empresa, que Dijo que había fomentado una “combinación única de innovación, eficiencia e influencia global diversa” en la industria de TI del Reino Unido. Más sobre innovación «Estos factores han catalizado la adopción de tecnologías avanzadas como la automatización, lo que ha llevado a una rápida implementación de procesos de fabricación de alta velocidad y a la integración de tecnologías de la Cuarta Revolución Industrial en todo el Reino Unido», dijo Henshall a TechRepublic por correo electrónico. Añadió: «Esta adopción estratégica ha enfatizado el desarrollo de la fuerza laboral a medida que las empresas reconocen cada vez más los beneficios económicos y las mejoras de productividad, provenientes de la mejora o reentrenamiento de los empleados para la era digital». Según Red Hat, la mayoría de las empresas del Reino Unido tienen una estrategia de automatización y están trabajando para lograrla. El veintinueve por ciento dijo que estaba en el camino hacia la automatización en toda la empresa, mientras que el 25 por ciento tiene una estrategia de automatización pero aún no ha comenzado a automatizar las tareas. Sólo el 4% de los encuestados del Reino Unido dijeron que no han automatizado ningún proceso y no planean hacerlo. Otros hallazgos de Red Hat específicos del Reino Unido incluyen: El treinta y tres por ciento de los líderes de TI del Reino Unido encuestados cuyas organizaciones aún no han logrado la automatización de TI en toda la empresa creen que, sin ella, no podrán adoptar nuevas tecnologías como la generativa. AI. El treinta y seis por ciento de los líderes de TI del Reino Unido encuestados creen que liberar tiempo para el pensamiento creativo y estratégico es el principal beneficio de la automatización de TI en toda la empresa. VER: Isambard-AI: la nueva supercomputadora de inteligencia artificial del Reino Unido de £ 225 millones estará entre las más rápidas del mundo (TechRepublic) La automatización significa cosas diferentes para diferentes empresas El informe señaló que la automatización en toda la empresa puede verse diferente según la organización individual y sus prioridades, y “ no significa necesariamente que todos los procesos estén automatizados”, sólo los más valiosos. Si bien todos los encuestados reconocieron los beneficios de la automatización (Figura A), como una mejor experiencia del cliente (33%), mayores ingresos/ventas (30%) y equipos más productivos (28%), una cuarta parte de los encuestados dijo que no No contamos con una estrategia de automatización. Del 82% de los encuestados que dijeron que no habían logrado la automatización de TI en toda la empresa, las barreras comunes incluyen no tener las habilidades para implementar la automatización (29%), limitaciones en la pila tecnológica de la organización (28%) y preocupaciones sobre la ciberseguridad. Implicaciones de la automatización (28%). Figura A El servicio y la experiencia del cliente, mayores ventas y mayor productividad se consideraron los mayores beneficios de la automatización. Imagen: Red Hat VER: Directrices de políticas de automatización de software (TechRepublic Premium) Los mayores desafíos para estos líderes de TI Para los líderes de TI en el Reino Unido, la falta de talento fue citada como el mayor desafío para su negocio, según informó el 27% de los encuestados del Reino Unido. En las otras regiones, los principales desafíos informados por los líderes de TI (Figura B) en esos países son: Francia: amenazas a la ciberseguridad (42%). Alemania: Silos en el negocio que causan ineficiencias (29%). España: Cumplimiento de la normativa gubernamental (23%). Figura B Principales desafíos para la automatización según país y puesto de trabajo. Imagen: Red Hat Entre todos los líderes de TI en el Reino Unido, Francia, Alemania y España, los mayores desafíos que enfrentan las empresas son las amenazas a la ciberseguridad (26%), las ineficiencias causadas por los silos de TI departamentales (23%) y mantenerse al día con el ritmo del desarrollo técnico. (22%), según la encuesta de Red Hat (Figura C). La falta de talento (22%) y la incapacidad de retener talento de calidad (22%) se clasificaron como el cuarto y sexto mayor desafío citado por los líderes de TI, respectivamente. Henshall dijo: “El gran desafío que vemos que afecta a las organizaciones en este momento es la escasez de habilidades. Falta el conocimiento que las empresas necesitan para crecer en un período de rápida evolución tecnológica. En nuestra Cumbre Red Hat de 2023, las «personas» fueron la base del 95 % de las conversaciones que tuvieron lugar: ¿Dónde encuentro a las personas adecuadas? ¿Cómo puedo mejorar sus habilidades dentro de mi organización? ¿Y cómo puedo motivar a equipos más amplios para que adopten el cambio? Los líderes de TI de la Figura C dicen que la ciberseguridad, los silos departamentales y el ritmo de la innovación son los principales desafíos que enfrentan sus negocios hoy en día. Imagen: Red Hat Principales desafíos por puesto de trabajo Los principales desafíos citados por los encuestados también variaron según su función dentro de la organización. Estos incluyen: Gerente de TI: Amenazas a la ciberseguridad (28%). Director de TI: Falta de talento, ciberseguridad, silos departamentales (25%). CTO: Amenazas a la ciberseguridad (28%). CIO: Recortes presupuestarios (30%). La resistencia a la automatización se puede resolver con una gestión adecuada del cambio. El informe de Red Hat indicó que los líderes de TI sienten que los empleados dudan a la hora de adaptarse a los tiempos, incluso cuando las empresas enfrentan escasez de habilidades. Cuando se les preguntó sobre la apertura de sus equipos a la adopción de nuevas tecnologías o procesos, el 92% de los gerentes de TI sugirieron que los empleados son reacios al cambio. Los factores que impulsan esta renuencia percibida incluyen la falta de tiempo para implementar la automatización (45%), sentirse abrumado por cambios demasiado complejos o técnicos (40%) y la idea de que los equipos «preferirían hacer lo suyo y no quieren hacerlo». que le digan qué procesos o tecnología utilizar” (39%). Cuando se les preguntó acerca de las mejores prácticas para una gestión eficaz del cambio (Figura D), los líderes de TI citaron la necesidad de describir claramente los beneficios del cambio a lo largo de un proceso de cambio (32%), brindando a los equipos educación y capacitación en habilidades relevantes (31%) e involucrando a los equipos en todo el viaje de cambio (29%). Figura D Mejores prácticas para una gestión exitosa del cambio, según los líderes de TI. Imagen: Red Hat VER: Los 5 mejores software de gestión de cambios de 2023 (TechRepublic) “La automatización debe ser un movimiento colaborativo y ágil; la gente necesita estar habilitada y motivada desde el principio y comprometida continuamente”, dijo Henshall en un comunicado de prensa. «Y cuando permites que las personas utilicen la IA, los big data y la nube de manera significativa, su sentido de propósito y orgullo aumenta: se alimenta un círculo virtuoso».