Vulnerabilidad crítica con puerta trasera en XZ Utils Linux

Se ha reportado sobre una vulnerabilidad, donde se ha identificado la presencia de código malicioso tipo backdoor en los paquetes de software upstream de xz utils, a partir de la versión 5.6.0. Este código malicioso impacta el proceso de construcción de la biblioteca liblzma, lo que resulta en la modificación de funciones específicas en dicha biblioteca. 

Esta vulnerabilidad ha sido identificada como CVE-2024-3094, tiene una puntuación de 10.0 (la más alta), en la cual el código malicioso se encuentra oculto en los archivos de prueba existentes en el código fuente de xz utils. A través de complejas ofuscaciones, durante el proceso de compilación la librería liblzma extrae un archivo del tipo objeto precompilado desde un archivo de prueba ofuscado, el cual se utiliza para alterar funciones específicas en el código de la biblioteca liblzma. Esta modificación resulta en una versión alterada de la biblioteca liblzma, lo que permite la manipulación de la interacción de datos con esta biblioteca por parte de cualquier software vinculado a la misma. La explotación exitosa de esta vulnerabilidad por parte de un actor malicioso podría permitir la iteración con otros servicios, librerías de forma arbitraria vinculados a la biblioteca.

Productos afectados:

Se advierte que todos los productos que utilicen la biblioteca liblzma parte de xz utils en las versiones afectadas, especialmente aquellos que dependan de la versión 5.6.0 en adelante de xz, podrían estar en riesgo.

Recomendaciones:

  • Se recomienda actualizar a una versión corregida de xz que aborde esta vulnerabilidad.
  • Instamos a todos los usuarios y administradores de sistemas afectados a tomar medidas inmediatas para mitigar el riesgo asociado con esta vulnerabilidad y proteger la integridad de los sistemas que utilizan la biblioteca liblzma.

Referencias: 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://www.cve.org/CVERecord?id=CVE-2024-3094
https://access.redhat.com/security/cve/CVE-2024-3094
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Compartir: