Especialistas de Kaspersky analizan en detalle un backdoor en el conjunto de herramientas de compresión XZ, clasificándola como altamente sofisticada, tanto en ejecución, evasión e impacto.
A finales de marzo, se descubrió la implantación de un backdoor (puerta trasera) en XZ, el conjunto de herramientas de compresión de datos integrada en muchas distribuciones populares de Linux. El análisis inicial reveló que es extremadamente sofisticada en términos de ejecución, evasión (proceso que evita su detección por parte de las soluciones de seguridad) e impacto (potenciales pérdidas para las organizaciones) en servidores SSH. Dado que las utilidades troyanizadas de Linux lograron abrirse camino en varias versiones populares que se lanzaron en marzo, esta vulnerabilidad (CVE-2024-3094) podría considerarse como un grave ataque a la cadena de suministro.
El ataque inició al comprometer la biblioteca de la herramienta XZ, la cual incluye archivos para probar el código de compresión y descompresión de datos para asegurarse de que este funciona. Los especialistas de Kaspersky explican que los atacantes se dieron cuenta de esto y agregaron dos archivos de prueba que ocultan el código para implantar un backdoor, permitiendo a los invasores controlar las máquinas en las que esta biblioteca esté instalada. También es posible utilizar este backdoor para otros tipos de ataques, dependiendo de la intención de los criminales.
Según expertos de Kaspersky, la vulnerabilidad CVE-2024-3094 podría haberse convertido en el ataque a mayor escala al ecosistema Linux de la historia, ya que estaba principalmente dirigido a servidores SSH, la principal herramienta de gestión remota de todos los servidores de Linux en internet. Afortunadamente, fue detectada en las distribuciones en situación de prueba y en desarrollo, donde se utilizaron los últimos paquetes de software, lo que mantuvo a salvo a un gran número de usuarios de Linux.
«La implementación del backdoor se realizó de manera muy sigilosa, lo que dificultó su identificación por parte de la comunidad de software de código abierto (OSS). Los códigos del backdoor también son altamente complejos. La manera en que la infección utiliza códigos legítimos para tareas maliciosas también es muy inteligente y demuestra la familiaridad del invasor (desarrollador) con el sistema operativo objetivo. Nuestra experiencia en amenazas de Linux fue esencial para comprender rápidamente cómo ocurre la infección«, afirma Anderson Leite, investigador de seguridad de Kaspersky.
Tras su detección y análisis, los expertos de Kaspersky aseguran que los clientes de la empresa no se verán afectados por esta vulnerabilidad. Las tecnologías de la empresa detectan esta amenaza con el nombre HEUR:Trojan.Script.XZ.a y Trojan.Shell.Xz.a. Además, la solución de protección de la empresa para Linux también detecta el proceso malicioso SSHD en la memoria como MEM:Trojan.Linux.XZ.a (como parte del escaneo de áreas críticas).
¡Hola! 😊 ¿Eres un apasionado de la tecnología? ¡Entonces
has llegado al lugar indicado! Te invito a formar parte de nuestra vibrante
comunidad, donde juntos exploramos las últimas innovaciones y nos sumergimos en
el emocionante mundo de la tecnología.
📱💡 ¿Quieres estar al día con las últimas
novedades? Únete a nuestro Grupo de WhatsApp, donde compartimos conocimientos,
respondemos preguntas y nos inspiramos mutuamente para seguir aprendiendo: https://chat.whatsapp.com/Jp0sFfqtiy8Edg2jbAdasi
🚀🔍 Si prefieres una experiencia más versátil, te
invitamos a unirte a nuestro Grupo de Telegram. Aquí encontrarás noticias,
consejos y trucos sobre los avances tecnológicos, ¡todo en un solo lugar!: https://t.me/+NXPQCwc1yJhmMGNh
Recuerda, la tecnología nos conecta, nos impulsa
y nos inspira. ¡Esperamos verte pronto en nuestros grupos para compartir juntos
esta emocionante aventura!
Y si deseas explorar más sobre nuestra
organización y proyectos, también estamos disponibles en:
📲 WhatsApp: https://chat.whatsapp.com/Hpl3yMU9T154jdVp5fTHb2
📡 Telegram: https://t.me/todoenunonet
NUESTRO CANAL en WhatsApp https://whatsapp.com/channel/0029Va0WD8x0lwgtbct8lx2j
No dudes en contactarnos a través de nuestro
correo electrónico [info@todoenuno.net.co] o nuestros números de WhatsApp [+57
3218653750] y [+57 3104507737]. ¡Estamos aquí para ti!
¿Listo para ser parte de nuestra comunidad?
¡Únete y comencemos esta emocionante travesía juntos! 🤝🔗
