Vulnerabilidad crítica en Linux
Detalles técnicos
La vulnerabilidad fue descubierta debido a comportamientos inusuales observados en el servicio sshd, como un alto consumo de CPU durante el proceso de inicio de sesión. Se encontró que durante el proceso de compilación de XZ, un script ofuscado modifica el archivo MakeFile de liblzma, afectando la resolución de símbolos en tiempo de ejecución y apuntando a código malicioso. Específicamente, durante el proceso de autenticación por clave pública de sshd, se ejecuta el código del atacante, que intenta extraer y ejecutar una carga útil de la clave pública, lo que podría resultar en ejecución remota de código bajo ciertas condiciones.
Productos afectados
La vulnerabilidad impacta directamente a las versiones 5.6.0 y 5.6.1 de XZ Utils, usadas ampliamente en distribuciones Linux para compresión y descompresión de datos. Las distribuciones afectadas incluyen Fedora (40 y Rawhide), Debian (versión inestable Sid), Alpine (rama edge), y Arch Linux, mientras que otras como RHEL, Ubuntu y Amazon Linux no incluyen la versión comprometida del paquete.
Remediación
La remediación sugerida es revertir XZ Utils a una versión anterior no comprometida, como la 5.4.x, donde se entiende que no existe la vulnerabilidad. Esto es especialmente relevante para Fedora, Debian, y Alpine, donde se aconseja específicamente esta acción.
Mitigación
Para mitigar los riesgos asociados a esta vulnerabilidad, se recomienda desactivar o eliminar las funciones o programas innecesarios relacionados con las XZ Utils afectadas y aplicar el principio de mínimo privilegio en todos los sistemas y servicios, ejecutando el software como un usuario no privilegiado para reducir el impacto de un ataque exitoso
Recomendaciones
Se insta a los administradores de sistemas a seguir las recomendaciones de los desarrolladores de XZ Utils y de las distribuciones afectadas para actualizar o revertir a versiones seguras de las utilidades comprometidas.
Para obtener más información detallada, visite los sitios web oficiales mencionados y manténgase actualizado sobre las últimas recomendaciones y parches disponibles.
Referencias
Red Hat Customer Portal - CVE-2024-3094