Fecha de publicación: Lun, 01/04/2024 - 18:08

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha descubierto una vulnerabilidad crítica (CVE-2024-3094 CVSS:10) de tipo backdoor en XZ Utils, una biblioteca de compresión de datos ampliamente utilizada en distribuciones de Linux como Ubuntu, Debian, Fedora, Red Hat, OpenSuse, Arch Linux.

El objetivo final de la puerta trasera maliciosa introducida por CVE-2024-3094 es inyectar código en el servidor OpenSSH (SSHD) que se ejecuta en la máquina víctima y permitir que atacantes remotos específicos (que poseen una clave privada específica) envíen datos arbitrarios. cargas útiles a través de SSH que se ejecutarán antes del paso de autenticación, secuestrando efectivamente toda la máquina víctima

Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a un sistema vulnerable, lo que le permitiría ejecutar comandos arbitrarios, robar datos sensibles o tomar control del sistema.

Recursos afectados

La vulnerabilidad afecta a las versiones:

  • 5.6.0 de XZ Utils
  • 5.6.1 de XZ Utils

Las siguientes distribuciones de Linux se ven afectadas:

  • Ubuntu
  • Debian
  • Fedora
  • Red Hat
  • CentOS
  • openSUSE
  • Gentoo
  • Arch Linux

Solución

Instalar una versión anterior a 5.6.0 y 5.6.1 de XZ Utils mitiga la vulnerabilidad.

Prueba de concepto

El usaurio JFrog en su repositorio de github ha proporcionado un script  que comprueba si un sistema Linux es vulnerable a CVE-2024-3094.

En caso de encontrar el backdoor en las versiones afectadas, se deben realizar las siguientes acciones:

  • Instalar una versión anterior a las versiones afectadas.
  • Revisar los logs de autenticación.
  • Verificar la creación de nuevos usuarios administradores o de otros roles.
  • Cambiar las credenciales de acceso SSH.

Recomendaciones

Se recomienda a todos los administradores de distribuciones Linux, instalar una versión XZ Utils anterior a la versión 5.6.0 y 5.6.1  para no ser víctimas de ataques hacia sus servidores expuestos en la web. En caso de no poder mitigar la vulnerabilidad se deben tomar las siguientes acciones:

  • Deshabilitar la descompresión automática de archivos en el servidor web.
  • Configurar el servidor web para que solo descomprima archivos de fuentes conocidas.

Referencias

Puerta trasera  en la biblioteca XZ Utils afecta a las principales distribuciones de Linux