Análisis de CVE-2024-3094: Ataque de Cadena de Suministro Multinivel Usando la Puerta Trasera de XZ Utils Afecta a las Principales Distribuciones de Linux
Tabla de contenidos:
Los expertos en ciberseguridad permanecen vigilantes ante un ataque a la cadena de suministro en curso que ha proyectado una sombra sobre las distribuciones de Linux más utilizadas. Con su escala y sofisticación que recuerda a incidentes infames como Log4j and SolarWinds, esta nueva amenaza emana de un XZ Utils con puerta trasera (anteriormente LZMA Utils), una utilidad esencial de compresión de datos que se encuentra en prácticamente todas las principales distribuciones de Linux. Para llamar la atención sobre esta amenaza revolucionaria, la puerta trasera engañosa ha sido asignada con un identificador de vulnerabilidad CVE-2024-3094 con una calificación de severidad de 10.0.
Puerta Trasera de XZ Utils: Ataque a la Cadena de Suministro de Linux
Una crítica compromisión de la cadena de suministro de software involucra dos versiones de la biblioteca de compresión de datos XZ Utils ampliamente utilizadas, que han sido subrepticiamente alteradas con una puerta trasera. La puerta trasera permite a adversarios remotos eludir la autenticación de shell seguro (sshd), otorgándoles acceso completo a los sistemas afectados. Este ataque ejecutado meticulosamente durante varios años sugiere que un individuo con acceso a nivel de mantenedor introdujo deliberadamente la puerta trasera.
Andres Freund, un ingeniero de software de Microsoft que detectó la sospechosa mala configuración a fines de marzo, afirma que cadenas maliciosas fueron inyectadas en el paquete de descarga tarball dentro de la versión 5.6.0 de XZ Utils emitida en febrero de 2024. Poco después, en la versión 5.6.1, los actores de amenaza actualizaron el código malicioso para mejorarlo con mayor ofuscación y corregir algunos errores en la configuración.
Freund afirma que el código malicioso ha sido integrado sigilosamente a través de una serie de commits de código fuente en el Proyecto Tukaani en GitHub por un individuo identificado como Jia Tan (JiaT75) a inicios de este año. El repositorio de XZ Utils del Proyecto Tukaani en GitHub ya ha sido deshabilitado debido a violaciones.
Hasta ahora, las versiones afectadas de XZ Util han aparecido exclusivamente en ediciones inestables y beta de Fedora, Debian, Kali, openSUSE, y Arch Linux distribuciones. Debian y Ubuntu han confirmado que ninguna de sus versiones estables contiene los paquetes comprometidos, asegurando la seguridad de los usuarios. Además, Amazon Linux, Alpine Linux, Gentoo Linux y Linux Mint afirmaron no estar afectados por el incidente de la puerta trasera.
XZ Utils sirve como un componente crítico no solo dentro de numerosas distribuciones de Linux sino también como una dependencia fundamental para varias bibliotecas. Las implicaciones de este ataque a la cadena de suministro se extienden ampliamente a través del ecosistema de software. Sin embargo, dado que la puerta trasera no ha llegado a ninguna distribución de Linux estable, las posibles consecuencias son considerablemente limitadas.
Mitigación de CVE-2024-3094: Reducción de Riesgos Vinculados a la Puerta Trasera de XZ Utils
Cada aviso (mencionado anteriormente) proporcionado por los mantenedores de las principales distribuciones de Linux contiene orientación para que los usuarios detecten rápidamente la presencia de las versiones comprometidas de XZ Util en sus bases de código. Red Hat ha tomado medidas proactivas al lanzar una actualización que retrotrae XZ a versiones anteriores, con planes de distribuirla a través de sus canales de actualización estándar. Sin embargo, los usuarios preocupados por posibles ataques tienen la opción de acelerar el proceso de actualización.
CISA ha sumado su voz al llamado para que las organizaciones que utilizan distribuciones de Linux afectadas reviertan sus XZ Utils a una versión anterior. Enfatizan la importancia de buscar diligentemente cualquier signo de actividad sospechosa vinculada a la puerta trasera y compartir rápidamente sus hallazgos con la comunidad de ciberseguridad.
Resumiendo lo anterior, la rutina de mitigación debe incluir lo siguiente básico:
- Degradar (o actualizar) los paquetes de XZ Util a una versión segura basada en el aviso relevante;
- Bloqueo de acceso SSH externo;
- Segmentación de red.
Además, para ayudar a los defensores cibernéticos a identificar posibles actividades maliciosas vinculadas a la ejecución de la puerta trasera de XZ, el equipo de SOC Prime junto con Arnim Rupp, Nasreddine Bencherchali y Thomas Patzke proporcionaron reglas Sigma relacionadas disponibles en la plataforma SOC Prime.
Explotación Potencial de CVE-2024-3094 – Proceso Hijo SSH Sospechoso
Ambas reglas ayudan a detectar potencialmente un proceso hijo sospechoso del proceso SSH (sshd) con un usuario de ejecución específico que podría estar posiblemente vinculado a CVE-2024-3094. Las reglas son compatibles con 28 tecnologías SIEM, EDR, XDR y Data Lake y están enriquecidas con amplia inteligencia de amenazas.
La plataforma de SOC Prime para la defensa cibernética colectiva ofrece la colección más grande del mundo de algoritmos de detección basados en comportamientos para detectar TTP de atacantes, respaldada por innovadoras soluciones de búsqueda de amenazas y detección diseñadas para optimizar las operaciones del SOC. Mantente por delante de los atacantes y detecta proactivamente amenazas notorias confiando en SOC Prime. Explora más en https://socprime.com/.
