Hace unos días se anunció la existencia de una puerta trasera en xz Utils, una utilidad de compresión de datos de código abierto disponible en casi todas las instalaciones de Linux y otros sistemas operativos similares a Unix.
Según cuentan desde Akamai, la historia de esta puerta trasera comenzó hace dos años, cuando un desarrollador llamado Jia Tan se unió al proyecto XZ Utils y comenzó a pedir solicitudes de extracción para varias correcciones de errores o mejoras. Después de generar confianza y credibilidad, Jia Tan comenzó a recibir permisos para el repositorio, y a través de cuentas falsas que enviaban innumerables solicitudes de funciones y quejas sobre errores, se provocó la necesidad de agregar otro mantenedor al repositorio. Después de contribuir al código durante aproximadamente dos años, en 2023 Jia Tan introdujo algunos cambios en XZ que se incluyeron como parte de la versión 5.6.0. Entre estos cambios se encontraba una sofisticada puerta trasera.
La puerta trasera fue descubierta por Andrés Freund, un ingeniero de software de Microsoft, cuando probaba algunas cosas en las instalaciones de Debian sid y quiso descubrir por qué los inicios de sesión SSH consumían mucha potencia de la CPU y por qué aparecían errores. Detectó que el problema estaba en la biblioteca de compresión de datos liblzma, que forma parte del paquete XZ, y concluyó que había una puerta trasera, informando del problema a Debian y otras distribuciones de Linux. El fallo se ha identificado como CVE-2024-309.
El código malicioso, agregado a las versiones 5.6.0 y 5.6.1 de xz Utils, modifica la forma en que funciona el software. Explican los expertos que la puerta trasera manipuló sshd, el archivo ejecutable utilizado para realizar conexiones SSH remotas. Cualquiera que posea una clave de cifrado predeterminada podría guardar cualquier código de su elección en un certificado de inicio de sesión SSH, cargarlo y ejecutarlo en el dispositivo con puerta trasera. En teoría, el código podría permitir casi cualquier cosa, incluido el robo de claves de cifrado o la instalación de malware.
Se ha confirmado que Fedora Rawhide y Fedora Linux 40 beta contenían versiones afectadas (5.6.0, 5.6.1) de las bibliotecas xz, y que no hay versiones de Red Hat Enterprise Linux (RHEL) afectado. Por otra parte, los mantenedores de OpenSUSE dicen que openSUSE Tumbleweed y openSUSE MicroOS incluyeron una versión xz afectada entre el 7 y el 28 de marzo.
Se invita a los usuarios a seguir las instrucciones proporcionadas por los mantenedores de su distribución de Linux, y se informa de que hay un script para verificar si su sistema usa una versión con puerta trasera de la biblioteca liblzma.