Linux, el sistema operativo de código abierto más utilizado en el mundo, escapó por poco de un ciberataque masivo durante el fin de semana de Pascua, todo gracias a un voluntario.
La puerta trasera se había insertado en una versión reciente de un formato de compresión de Linux llamado XZ Utils, una herramienta poco conocida fuera del mundo de Linux pero que se utiliza en casi todas las distribuciones de Linux para comprimir archivos grandes, haciéndolos más fáciles de transferir. Si se hubiera extendido más ampliamente, un número incalculable de sistemas podrían haber quedado comprometidos durante años.
Y como Ars Técnica anotado en su resumen exhaustivoel culpable había estado trabajando en el proyecto al aire libre.
La vulnerabilidad, insertada en el inicio de sesión remoto de Linux, sólo se exponía a una única clave, por lo que podía ocultarse de los análisis de los ordenadores públicos. Como Ben Thompson escribe en estrategia. «La mayoría de las computadoras del mundo serían vulnerables y nadie lo sabría».
La historia del descubrimiento de la puerta trasera XZ comienza temprano en la mañana del 29 de marzo, como publicó el desarrollador de Microsoft con sede en San Francisco, Andrés Freund, en Mastodon y envió un correo electrónico a la lista de correo de seguridad de OpenWall con el título: «puerta trasera en xz/liblzma ascendente que lleva a comprometer el servidor ssh».
Freund, que se ofrece como “mantenedor” voluntario de PostgreSQL, una base de datos basada en Linux, notó algunas cosas extrañas en las últimas semanas mientras realizaba pruebas. Los inicios de sesión cifrados en liblzma, parte de la biblioteca de compresión XZ, consumían una gran cantidad de CPU. Ninguna de las herramientas de interpretación que utilizó reveló nada, escribió Freund en Mastodon. Esto inmediatamente le hizo sospechar y recordó una “extraña queja” de un usuario de Postgres un par de semanas antes sobre Valgrind, el programa de Linux que busca errores de memoria.
Después de algunas investigaciones, Freund finalmente descubrió lo que estaba mal. «El repositorio xz ascendente y los archivos tar xz tienen una puerta trasera», señaló Freund en su correo electrónico. El código malicioso estaba en las versiones 5.6.0 y 5.6.1 de las herramientas y bibliotecas xz.
Poco después, la empresa de software empresarial de código abierto Red Hat envió un alerta de seguridad de emergencia para usuarios de Fedora Rawhide y Fedora Linux 40. Finalmente, la compañía concluyó que la versión beta de Fedora Linux 40 contenía dos versiones afectadas de las bibliotecas xz. Las versiones de Fedora Rawhide probablemente también recibieron las versiones 5.6.0 o 5.6.1.
POR FAVOR, DETENGA INMEDIATAMENTE EL USO DE CUALQUIER INSTANCIA DE FEDORA RAWHIDE para trabajo o actividad personal. Fedora Rawhide volverá a xz-5.4.x en breve y, una vez hecho esto, las instancias de Fedora Rawhide se podrán volver a implementar de forma segura.
Aunque una versión beta de Debian, la distribución gratuita de Linux, contenía paquetes comprometidos, su equipo de seguridad actuó rápidamente para revertirlos. «En este momento no se sabe que ninguna versión estable de Debian se haya visto afectada», escribió Salvatore Bonaccorso de Debian en una alerta de seguridad a los usuarios el viernes por la tarde.
Más tarde, Freund identificó a la persona que envió el código malicioso como uno de los dos desarrolladores principales de xz Utils, conocido como JiaT75 o Jia Tan. “Dada la actividad durante varias semanas, el autor de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema. Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las “soluciones” mencionadas anteriormente”, escribió Freund en su análisisdespués de vincular varias soluciones realizadas por JiaT75.
JiaT75 era un nombre familiar: habían trabajado codo con codo con el desarrollador original del formato de archivo .xz, Lasse Collin, durante un tiempo. Como señaló el programador Russ Cox en su línea de tiempoJiaT75 comenzó enviando parches aparentemente legítimos a la lista de correo de XZ en octubre de 2021.
Otros brazos del plan se desplegaron unos meses más tarde, cuando otras dos identidades, Jigar Kumar y Dennis Ens, comenzó a enviar quejas por correo electrónico a Collin sobre los errores y el lento desarrollo del proyecto. Sin embargo, como se señala en informes de Evan Boehs y otros, «Kumar» y «Ens» nunca fueron vistos fuera de la comunidad XZ, lo que lleva a los investigadores a creer que ambos son falsificaciones que existieron solo para ayudar a Jia Tan a ponerse en posición de entregar el código de puerta trasera.
“Lamento tus problemas de salud mental, pero es importante ser consciente de tus propios límites. Entiendo que este es un proyecto de pasatiempo para todos los contribuyentes, pero la comunidad desea más”, escribió Ens en un mensaje, mientras que Kumar dijo en otro que “el progreso no ocurrirá hasta que haya un nuevo mantenedor”.
En medio de este ir y venir, Collins escribió que “no he perdido el interés, pero mi capacidad para cuidarme ha sido bastante limitada debido principalmente a problemas de salud mental a largo plazo, pero también a otras cosas”, y sugirió que Jia Tan tomaría en un papel más importante. «También es bueno tener en cuenta que se trata de un proyecto de hobby no remunerado», concluyó. Los correos electrónicos de “Kumar” y “Ens” continuaron hasta que Tan fue agregado como mantenedor más tarde ese año, capaz de hacer modificaciones e intentar introducir el paquete con puerta trasera en distribuciones de Linux con más autoridad.
El incidente de la puerta trasera xz y sus consecuencias son un ejemplo tanto de la belleza del código abierto como de una sorprendente vulnerabilidad en la infraestructura de Internet.
Un desarrollador detrás de FFmpeg, un popular paquete multimedia de código abierto, destacó el problema en un tuit, diciendo: “El fiasco de xz ha demostrado cómo la dependencia de voluntarios no remunerados puede causar problemas importantes. Las corporaciones valoradas en billones de dólares esperan apoyo gratuito y urgente de los voluntarios”. Y trajeron recibos, señalando cómo lidiaron con un error de “alta prioridad” que afectaba a Microsoft Teams.
A pesar de la dependencia de Microsoft de su software, el desarrollador escribe: «Después de solicitar cortésmente un contrato de soporte de Microsoft para el mantenimiento a largo plazo, ofrecieron en su lugar un pago único de unos pocos miles de dólares… las inversiones en mantenimiento y sostenibilidad no son atractivas y probablemente No conseguirá un ascenso para un mando intermedio, pero se beneficiará mil veces en muchos años”.
Un ejército de desarrolladores y profesionales de la ciberseguridad están desenterrando detalles sobre quién está detrás de “JiaT75”, cómo ejecutaron su plan y el alcance del daño, tanto en las redes sociales como en foros en línea. Pero eso sucede sin el apoyo financiero directo de muchas de las empresas y organizaciones que se benefician de poder utilizar software seguro.