Una investigación de fallos en el rendimiento de Linux desveló una puerta trasera en las versiones recientes de la herramienta xz Utilis, con la cual un actor malicioso buscaba hacerse con el control total de los sistemas afectados.
Fue el desarrollador Andrés Freund quien detectó un rendimiento anómalo en el sistema Debian con el protocolo de inicio de sesión remoto SSH, debido a que consumía demasiados recursos de la CPU lo que a su vez causaba fallos en la herramienta de depuración de memoria Valgrind.
Cuando se investigó la causa del problema el desarrollador descubrió una “puerta trasera” que un actor malicioso había implantado en una reciente actualización de xz, una herramienta de compresión sin pérdida que de acuerdo con Europa Press es ampliamente usada en las distribuciones Linux.
Dicho código malicioso estaba diseñado para impactar en las funciones de SSH y ejecutarse con privilegios de raíz, lo que significa que el actor malicioso conseguía la clave de encriptación para iniciar sesión con SSH en el equipo infectado obteniendo de esta forma control remoto en todo el sistema.
Esta “puerta trasera” se encuentra en las versiones 5.6.0 y 5.6.1 ( las más recientes de xz Utils); por lo cual la empresa Red Hat (empresa que más trabaja con Linux) instó a los usuarios de este sistema operativo a no actualizar o en caso de hacerlo volver a una versión anterior a las afectadas.
El medio europeo señala que no se sabe quién está detrás de este ataque, aunque los investigadores de seguridad apuntan a la posibilidad de que se trate de un usuario conocido como JiaT575 o Jia Tan, como señalan en el blog Deep Factor y el medio especializado Ars Technica.
El usuario cometió su primer “commit” en el 2021, un cambio en el proyecto libarchive, y un año después fue cuando empezó a involucrarse con xz Utils y a enviar parches y actualizaciones.
Fuente: Europa Press.
