Un empleado de Microsoft salva accidentalmente la crisis global de Linux desde la puerta trasera CVE-2024-3094 XZ

Hoy, Microsoft publicó su guía y aviso sobre la vulnerabilidad de puerta trasera XZ Utils, que ha sido identificada como CVE-2024-3094. Esta falla de seguridad tiene una puntuación CVSS de 10.0 y tiene el potencial de afectar varias distribuciones de Linux, incluidas Fedora, Kali Linux, OpenSUSE y Alpine, con importantes consecuencias globales.

Afortunadamente, Andrés Freund, un desarrollador de Microsoft Linux, descubrió la vulnerabilidad justo a tiempo. Sintió curiosidad por el retraso de 500 ms en las conexiones del puerto SSH (Secure Shell) y decidió investigar más a fondo, revelando finalmente una puerta trasera maliciosa escondida dentro del compresor de archivos XZ.

Actualmente, VirtusTotal sólo ha identificado cuatro proveedores de seguridad, incluido Microsoft, de un total de 63, que están detectando con precisión el exploit como malicioso.

Por lo tanto, la aguda capacidad de observación del ingeniero de Microsoft merece reconocimiento en esta situación, ya que es probable que otros no se hubieran tomado el tiempo de investigar. Este evento también enfatiza la vulnerabilidad del software de código abierto a la explotación por parte de personas malintencionadas.

Si le preocupa, tenga en cuenta que las versiones 5.6.0 y 5.6.1 de XZ Utils se han visto comprometidas. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) recomienda utilizar versiones anteriores y seguras.

De acuerdo con las pautas recomendadas, los usuarios pueden confirmar la presencia de software vulnerable en un sistema ejecutando el siguiente comando en SSH con privilegios de administrador:


xz --version

Además, también hay disponibles herramientas de detección y escaneo de terceros. Las empresas de investigación de seguridad Qualys y Binarly han puesto a disposición del público sus propias herramientas de detección y escaneo, lo que permite a los usuarios determinar si su sistema se ha visto afectado.

Qualys lanzó la última versión de VULNSIGS, 2.6.15-6, y la vulnerabilidad se identificó como «379548» bajo el QID (ID de detección de vulnerabilidad de Qualys).

Además, Binarly lanzó recientemente un escáner de puerta trasera XZ gratuito. Esta herramienta está diseñada para identificar cualquier versión comprometida de XZ Utils y mostrará una notificación de detección de «implante malicioso XZ» al detectarla.

Se puede encontrar información técnica adicional sobre la vulnerabilidad en los sitios web de Binarly y Qualys. Ambas empresas han publicado artículos sobre el rompecabezas de la cadena de suministro de XZ Utils y la puerta trasera CVE-2024-3094.