Hacker intenta insertar backdoor en distros Linux, investigador lo detecta

Por lo general, cuando nos enfrentamos a un incidente de ciberseguridad reportado, suele tratarse de situaciones donde hackers han intentado ingresar a los sistemas de una empresa o institución. Aquí suelen utilizarse técnicas de ransomware, phishing o exploits de diversas índoles para infiltrarse. Sin embargo, en esta ocasión nos topamos con un evento cibernético que podría haber generado un desastre. Un ciberdelincuente estuvo planeando durante 2 años la creación de una puerta trasera para acceder a las principales distribuciones de Linux, pero afortunadamente, un profesional de Microsoft detectó el problema de inmediato y descubrió esta falla de seguridad antes de que fuera demasiado tarde.

Cada vez que utilizamos nuestra computadora para navegar por Internet y descargar archivos, debemos ser cuidadosos con los sitios que visitamos y con lo que descargamos. Si visitamos páginas poco confiables, es probable que los archivos descargados contengan malware. Aunque podemos intentar protegernos por nuestra cuenta y mediante un software antivirus, nunca estaremos completamente seguros. Existen otras formas en las que pueden acceder a nuestro sistema y a veces no podemos hacer mucho al respecto. Las debilidades en el hardware y software son una de esas formas, al igual que los intentos de acceso por parte de ciberdelincuentes a través de puertas traseras.

Un ciberdelincuente logra implementar una puerta trasera que afecta a varias distribuciones de Linux, pero un profesional de Microsoft lo descubre

Mediante una puerta trasera, los ciberdelincuentes encuentran una brecha de seguridad por la cual pueden acceder a los sistemas. Aunque no son tan comunes, estas vulnerabilidades son de gran peligro, ya que representan una forma directa de evadir nuestras defensas y permitir que los atacantes ingresen para instalar software malicioso o ejecutar código perjudicial. Experimentamos un caso similar el año pasado con el firmware de las placas madre GIGABYTE, afectando a 271 modelos de placas de la marca.

En este caso, nos encontramos con una puerta trasera aún más peligrosa que afecta a casi todas las distribuciones de Linux. Esto sucedió cuando dos versiones de la herramienta XZ Utils (previamente conocida como LZMA Utils) fueron atacadas con código malicioso que permitía el acceso remoto tras vulnerar la autenticación SSH. El autor, un ciberdelincuente que planeó este ataque de puerta trasera durante dos años, logró obtener acceso a la gran mayoría de computadoras con Linux. Sin embargo, su plan se vio frustrado cuando fue descubierto por un profesional de Microsoft llamado Andrés Freund. Este detectó un pico de 500 ms de retraso (algo apenas perceptible para la mayoría de personas en este caso) y decidió investigar qué estaba ocurriendo.

Se eliminaron los archivos del repositorio de GitHub que contenían el código malicioso

 0

Fue el pasado viernes cuando el investigador de Microsoft descubrió esto y se ha denominado la vulnerabilidad CVE-2024-3094. Las versiones afectadas del software son la 5.6 y 5.6.1 de XZ Utils y la biblioteca liblmza. Estas se lanzaron en febrero y marzo, respectivamente y desde la web podemos ver links a otras noticias que hablan de ello. Gracias a detectarlo a tiempo, han logrado descubrir que este código malicioso proviene de una serie de cuatro commits de Project Tuukani en GitHub que fueron subidas por parte de un usuario conocido como «Jia Tan» (JiaT75).

GitHub, que es propiedad de Microsoft, eliminó el repositorio XZ Utils de Project Tuukani, acusándolo de una violación de los términos de servicio de GitHub. Tampoco se han reportado ataques o exploits desde entonces. Algunas de las distribuciones de Linux afectadas por esta puerta trasera son Fedora Linux 40/41, Fedora Rawhide, Kali Linux, openSUSE Tumbleweed/MicroOS y versiones alpha de Debian. Sin embargo, otras distribuciones como Red Hat Enterprise Linux, Debian Stable, Amazon Linux y SUSE Linux Enterprise/Leap se han librado de esta vulnerabilidad.

En Grupo MET podemos ayudarte a implementar esta y muchas mas herramienta para optimizar tu trabajo. ¡Contáctanos para saber más!

Contactanos