{"id":29815,"date":"2024-04-04T10:42:22","date_gmt":"2024-04-04T08:42:22","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29815"},"modified":"2024-04-04T11:01:37","modified_gmt":"2024-04-04T09:01:37","slug":"cve-2024-3094-vulnerability-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/","title":{"rendered":"Descubierto un c\u00f3digo malicioso en las distribuciones de Linux"},"content":{"rendered":"<p>Actores desconocidos han implantado un c\u00f3digo malicioso en las versiones abiertas 5.6.0 y 5.6.1. del conjunto de herramientas de compresi\u00f3n XZ Utils. Y, adem\u00e1s, para empeorar la situaci\u00f3n, las utilidades <em>troyanizadas<\/em> lograron abrirse camino en varias versiones populares que se lanzaron en marzo, por lo que este incidente podr\u00eda considerarse como un ataque a la cadena de suministro. A esta vulnerabilidad se la ha denominado <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3094\" target=\"_blank\" rel=\"nofollow noopener\">CVE-2024-3094<\/a>.<\/p>\n<h2>\u00bfQu\u00e9 hace que este implante malicioso sea tan peligroso?<\/h2>\n<p>En un primer momento, varios investigadores afirmaron que esta puerta trasera permit\u00eda a los atacantes eludir la autenticaci\u00f3n <a href=\"https:\/\/www.ssh.com\/academy\/ssh\/sshd\" target=\"_blank\" rel=\"nofollow noopener\">sshd<\/a> (el proceso del servidor OpenSSH) y obtener informaci\u00f3n de acceso no autorizado al sistema operativo de manera remota. Sin embargo, seg\u00fan <a href=\"https:\/\/bsky.app\/profile\/filippo.abyssdomain.expert\/post\/3kowjkx2njy2b\" target=\"_blank\" rel=\"nofollow noopener\">las \u00faltimas noticas,<\/a> esta vulnerabilidad no deber\u00eda de ser clasificada como una \u201comisi\u00f3n de la autenticaci\u00f3n\u201d, sino m\u00e1s bien como una \u201cejecuci\u00f3n remota de c\u00f3digo\u201d (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"nofollow noopener\">RCE<\/a>). La puerta trasera intercepta la funci\u00f3n <a href=\"https:\/\/www.openssl.org\/docs\/manmaster\/man3\/RSA_public_decrypt.html\" target=\"_blank\" rel=\"nofollow noopener\">RSA_public_decrypt<\/a>, verifica la firma del host usando la clave fija Ed448 y, si esta se verifica con \u00e9xito, ejecuta el c\u00f3digo malicioso pasando por el host a trav\u00e9s de la funci\u00f3n <em>system(),<\/em> sin dejar rastros en los registros sshd.<\/p>\n<h2>\u00bfQu\u00e9 distribuciones de Linux contienen unidades maliciosas y cu\u00e1les son seguras?<\/h2>\n<p>Se sabe que las versiones 5.6.0 y 5.6.1 de XZ Utils se incluyeron en las versiones de marzo de las siguientes distribuciones de Linux:<\/p>\n<ul>\n<li>Kali Linux aunque seg\u00fan <a href=\"https:\/\/www.kali.org\/blog\/about-the-xz-backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">el blog oficial<\/a>, que incluye instrucciones para comprobar si hay versiones vulnerables de utilidades, solo aquellas que estuvieron disponibles del 26 al 29 de marzo<\/li>\n<li>openSUSE Tumbleweed y openSUSE MicroOS <a href=\"https:\/\/news.opensuse.org\/2024\/03\/29\/xz-backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">disponibles del 7 al 28 de marzo<\/a><\/li>\n<li>Fedora 41, Fedora Rawhide, y Fedora Linux 40 beta;<\/li>\n<li>Debian (\u00fanicamente en las pruebas, en las distribuciones inestables y en las experimentales)<\/li>\n<li>Arch Linux \u2013contiene im\u00e1genes disponibles del 29 de febrero al 29 de marzo. Sin embargo, la p\u00e1gina web <a href=\"https:\/\/archlinux.org\/news\/the-xz-package-has-been-backdoored\/\" target=\"_blank\" rel=\"nofollow noopener\">org<\/a> afirma que, debido a sus peculiaridades de implementaci\u00f3n, aunque este vector de ataque no funcionar\u00eda en Arch Linux, recomiendan igualmente actualizar el sistema.<\/li>\n<\/ul>\n<p>Seg\u00fan fuentes oficiales Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise, openSUSE Leap y Debian Stable no son vulnerables. En cuanto a otras distribuciones, se recomienda comprobar la presencia de versiones <em>troyanizadas<\/em> de XZ Utils.<\/p>\n<h2>\u00bfC\u00f3mo se implant\u00f3 el c\u00f3digo malicioso en XZ Utils?<\/h2>\n<p>Al parecer se trataba de un <a href=\"https:\/\/orca.security\/resources\/blog\/critical-xz-utils-supply-chain-compromise-affects-multiple-linux-distributions-cve-2024-3094\/\" target=\"_blank\" rel=\"nofollow noopener\">caso t\u00edpico<\/a> de transferencia de control. La persona que inicialmente mantuvo el Proyecto XZ Libs en GitHub pas\u00f3 el control del repositorio a una cuenta que ha estado contribuyendo a varios repositorios relacionados con la compresi\u00f3n de datos durante varios a\u00f1os. Y, en alg\u00fan momento, alguien detr\u00e1s de esa otra cuenta implant\u00f3 una puerta trasera en el c\u00f3digo del proyecto.<\/p>\n<h2>La epidemia que estuvo a punto de ocurrir y que nunca ocurri\u00f3<\/h2>\n<p>De acuerdo con Igor Kuznetsov, <em>Head<\/em> de nuestro departamento de <em>Global Research and Analysis Team<\/em> (GReAT), la explotaci\u00f3n CVE-2024-3094 podr\u00eda haberse convertido en el ataque a mayor escala al ecosistema Linux de la historia. Esto se debe a que estaba principalmente dirigido a servidores SSH, la principal herramienta de gesti\u00f3n remota de todos los servidores de Linux en internet. Sin embargo, afortunadamente, CVE-2024-3094 fue detectada en las distribuciones en situaci\u00f3n de prueba y en desarrollo donde se utilizaron los \u00faltimos paquetes de software. Por tanto, un gran n\u00famero de usuarios de Linux se mantuvieron a salvo. Hasta ahora no hemos detectado ning\u00fan caso de explotaci\u00f3n de CVE-2024-3094.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse a salvo?<\/h2>\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/03\/29\/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094\" target=\"_blank\" rel=\"nofollow noopener\">recomienda<\/a> a cualquier persona que haya instalado o actualizado los sistemas operativos afectados en marzo que actualic\u00e9 XZ Utils a una versi\u00f3n anterior (por ejemplo, la versi\u00f3n 5.4.6) inmediatamente. As\u00ed como que comience a buscar actividades maliciosas.<\/p>\n<p>Si has instalado alguna de las distribuciones con una versi\u00f3n vulnerable de XZ Utils, tambi\u00e9n es recomendable cambiar todas las credenciales que los actores de amenazas podr\u00edan robar del sistema.<\/p>\n<p>Puedes detector la presencia de una vulnerabilidad utilizando <a href=\"https:\/\/github.com\/Neo23x0\/signature-base\/blob\/master\/yara\/bkdr_xz_util_cve_2024_3094.yar\" target=\"_blank\" rel=\"nofollow noopener\">la regla Yara para CVE-2024-3094<\/a>.<\/p>\n<p>Si sospechas que un actor de amenazas puede haber obtenido acceso a la infraestructura de tu empresa, te recomendamos usar <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/compromise-assessment?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Compromise Assessment<\/a> para descubrir cualquier tipo de ataque pasado o que siga en curso.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"29805\">\n","protected":false},"excerpt":{"rendered":"<p>Una puerta trasera implantada en ZX Utils ha logrado acceder a distribuciones populares de Linux<\/p>\n","protected":false},"author":2698,"featured_media":29816,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3645,696,1633,784],"class_list":{"0":"post-29815","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques-a-la-cadena-de-suministro","11":"tag-linux","12":"tag-puertas-traseras","13":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2024-3094-vulnerability-backdoor\/29815\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2024-3094-vulnerability-backdoor\/27244\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/22549\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/29918\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2024-3094-vulnerability-backdoor\/27416\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/27136\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2024-3094-vulnerability-backdoor\/28632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2024-3094-vulnerability-backdoor\/37222\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2024-3094-vulnerability-backdoor\/50873\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2024-3094-vulnerability-backdoor\/21666\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2024-3094-vulnerability-backdoor\/22371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2024-3094-vulnerability-backdoor\/31049\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2024-3094-vulnerability-backdoor\/27597\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2024-3094-vulnerability-backdoor\/33423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2024-3094-vulnerability-backdoor\/33050\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/linux\/","name":"Linux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=29815"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29815\/revisions"}],"predecessor-version":[{"id":29824,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/29815\/revisions\/29824"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/29816"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=29815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=29815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=29815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}