Cómo un voluntario evitó que una puerta trasera expusiera los sistemas Linux en todo el mundo

Linux, el sistema operativo de código abierto más utilizado en el mundo, escapó por poco de un ciberataque masivo durante el fin de semana de Pascua, todo gracias a un voluntario.

La puerta trasera está incluida en una versión reciente del formato de compresión de Linux llamada XZ Utils, una herramienta poco conocida fuera del mundo de Linux pero que se utiliza en casi todas las distribuciones de Linux para comprimir archivos grandes, haciéndolos más fáciles de transferir. Si el virus se hubiera extendido más, innumerables sistemas podrían haber permanecido vulnerables durante años.

Y como Ars Técnica notado en Resumen completoEl autor estaba trabajando en el proyecto en público.

La vulnerabilidad, que se introdujo en el inicio de sesión remoto de Linux, solo se exponía a una única clave, por lo que podía ocultarse de los análisis públicos de las computadoras. como Ben Thompson escribe Strachry. «La mayoría de las computadoras del mundo serán vulnerables y nadie lo sabrá».

La historia del descubrimiento de la puerta trasera XZ comienza temprano en la mañana del 29 de marzo, como publicó el desarrollador de Microsoft con sede en San Francisco, Anders Freund, en Mastodon y Envié un Email A la lista de correo de seguridad de OpenWall con el título: «La puerta trasera ascendente xz/liblzma compromete el servidor ssh».

Freund, que se ofrece como «supervisor» voluntario en PostgreSQL, una base de datos basada en Linux, notó algunas cosas extrañas en las últimas semanas mientras realizaba pruebas. Los inicios de sesión cifrados en liblzma, parte de la biblioteca de compresión XZ, consumían una cantidad significativa de CPU. Ninguna de las herramientas de interpretación que utilizó reveló nada”, escribió Freund en Mastodon. Esto inmediatamente despertó sus sospechas y recordó una «extraña queja» de un usuario de Postgres unas semanas antes sobre Valgrind, un programa de Linux que busca errores de memoria.

Después de investigar un poco, Freund finalmente descubrió lo que estaba mal. «XZ Warehouse y XZ Tar Balls han vuelto a cerrar», señaló Freund en su correo electrónico. El código malicioso estaba presente en las versiones 5.6.0 y 5.6.1 de las herramientas y bibliotecas xz.

Poco después, la empresa de software de código abierto Red Hat envió un mensaje Alerta de seguridad de emergencia Para usuarios de Fedora Rawhide y Fedora Linux 40. Finalmente, la compañía concluyó que Fedora Linux 40 beta contiene dos versiones afectadas de las bibliotecas xz. Es posible que las versiones de Fedora Rawhide también hayan recibido las versiones 5.6.0 o 5.6.1.

Deje de utilizar inmediatamente cualquier producto FEDORA RAWHIDE para actividades comerciales o personales. Fedora Rawhide se revertirá pronto a xz-5.4.x y, una vez hecho esto, las instancias de Fedora Rawhide se podrán volver a implementar de forma segura.

Aunque la versión beta de Debian, una distribución gratuita de Linux, contiene paquetes comprometidos por su equipo de seguridad Actué rápidamente Para volver a ellos. «En este momento, ninguna versión estable de Debian está afectada», escribió Salvatore Bonaccorso de Debian en una alerta de seguridad a los usuarios el viernes por la noche.

Más tarde, Freund identificó a la persona que envió el código malicioso como uno de los dos desarrolladores principales de xz Utils, conocidos como JiaT75 o Jia Tan. «Dado que la actividad ha estado ocurriendo durante varias semanas, el perpetrador estuvo directamente involucrado o hubo un grave compromiso de su sistema. Desafortunadamente, esta última parece ser la explicación menos probable, dado que hablaron en diferentes listas de los 'arreglos'. ' mencionado anteriormente”, escribió Freund en su libro. análisisdespués de vincular varias soluciones realizadas por JiaT75.

JiaT75 era un nombre familiar: habían trabajado junto con el desarrollador original del formato de archivo .xz, Lasse Collin, durante un tiempo. Como señaló el programador Ross Cox en su libro calendarioJiaT75 comenzó a enviar parches aparentemente legítimos a la lista de correo de XZ en octubre de 2021.

Otros brazos del plan fueron revelados unos meses más tarde, cuando otras dos identidades, Jigar Kumar y Dennis Ince, Las quejas han comenzado a enviarse vía correo electrónico A Colin por los errores y el lento desarrollo del proyecto. Sin embargo, como se señala en los informes Evan Buhs Otros, «Kumar» e «Ins», nunca han sido vistos fuera de la comunidad XZ, lo que lleva a los investigadores a creer que ambos son falsos y solo existen para ayudar a Jia Tan a acceder a su ubicación para entregar el código de puerta trasera.

«Lamento tus problemas de salud mental, pero es importante ser consciente de tus límites. «Me doy cuenta de que este es un proyecto de pasatiempo para todos los contribuyentes, pero la comunidad quiere más», escribió Ince en un mensaje, mientras que Kumar dijo en otro: “No habrá progreso” hasta que haya un nuevo supervisor”.

En medio del tira y afloja, Collins escribió: “No he perdido el interés, pero mi capacidad de cuidar ha sido algo limitada debido a problemas de salud mental a largo plazo, pero también a otras cosas”, y sugirió que Jia Tan asuma un papel más importante. «También es bueno tener en cuenta que se trata de un proyecto de hobby no remunerado», concluyó. Los correos electrónicos de Kumar y Ens continuaron hasta que Tan fue agregado como moderador más tarde ese año, para poder realizar modificaciones e intentar introducir el paquete de puerta trasera en distribuciones de Linux con más autoridad.

El incidente de la puerta trasera xz y sus consecuencias son un ejemplo de la belleza del código abierto y la increíble vulnerabilidad de la infraestructura de Internet.

Un desarrollador de FFmpeg, un popular paquete multimedia de código abierto, ha destacado el problema en un tuit«El fiasco de xz demostró cómo depender de voluntarios no remunerados puede causar problemas importantes. Las empresas de billones de dólares esperan apoyo urgente y gratuito de los voluntarios. Trajeron recibos que indicaban cómo manejaron un error de 'alta prioridad' que afectaba a Microsoft Teams.

A pesar de la dependencia de Microsoft de su software, el desarrollador escribió: «Después de solicitar cortésmente un contrato de soporte a Microsoft para el mantenimiento a largo plazo, ofrecieron en su lugar un pago único de unos pocos miles de dólares… Las inversiones en mantenimiento y sostenibilidad no son atractivas y un mando intermedio probablemente no lo conseguirá.» Por su ascenso, incluso le pagará mil veces durante muchos años.

Un ejército de desarrolladores y profesionales de la ciberseguridad han revelado detalles sobre quién está detrás de JiaT75, cómo se llevará a cabo su plan y el alcance del daño, tanto en las redes sociales como en foros en línea. Pero esto sucede sin el apoyo financiero directo de muchas empresas y organizaciones que se benefician de la capacidad de utilizar software seguro.