Linux, el sistema operativo de c\u00f3digo abierto m\u00e1s utilizado en el mundo, escap\u00f3 por poco de un ciberataque masivo durante el fin de semana de Pascua, todo gracias a un voluntario.<\/p>\n<\/div>\n
La puerta trasera se hab\u00eda insertado en una versi\u00f3n reciente de un formato de compresi\u00f3n de Linux llamado XZ Utils, una herramienta poco conocida fuera del mundo de Linux pero que se utiliza en casi todas las distribuciones de Linux para comprimir archivos grandes, haci\u00e9ndolos m\u00e1s f\u00e1ciles de transferir. Si se hubiera extendido m\u00e1s ampliamente, un n\u00famero incalculable de sistemas podr\u00edan haber quedado comprometidos durante a\u00f1os.<\/p>\n<\/div>\n
Y como Ars T\u00e9cnica<\/em> anotado en su resumen exhaustivo<\/a>el culpable hab\u00eda estado trabajando en el proyecto al aire libre.<\/p>\n<\/div>\n La vulnerabilidad, insertada en el inicio de sesi\u00f3n remoto de Linux, s\u00f3lo se expon\u00eda a una \u00fanica clave, por lo que pod\u00eda ocultarse de los an\u00e1lisis de los ordenadores p\u00fablicos. Como Ben Thompson escribe en estrategia<\/em><\/a>. \u00abLa mayor\u00eda de las computadoras del mundo ser\u00edan vulnerables y nadie lo sabr\u00eda\u00bb.<\/p>\n<\/div>\n La historia del descubrimiento de la puerta trasera XZ comienza temprano en la ma\u00f1ana del 29 de marzo, como public\u00f3 el desarrollador de Microsoft con sede en San Francisco, Andr\u00e9s Freund, en Mastodon y envi\u00f3 un correo electr\u00f3nico<\/a> a la lista de correo de seguridad de OpenWall con el t\u00edtulo: \u00abpuerta trasera en xz\/liblzma ascendente que lleva a comprometer el servidor ssh\u00bb. <\/p>\n<\/div>\n Freund, que se ofrece como \u201cmantenedor\u201d voluntario de PostgreSQL, una base de datos basada en Linux, not\u00f3 algunas cosas extra\u00f1as en las \u00faltimas semanas mientras realizaba pruebas. Los inicios de sesi\u00f3n cifrados en liblzma, parte de la biblioteca de compresi\u00f3n XZ, consum\u00edan una gran cantidad de CPU. Ninguna de las herramientas de interpretaci\u00f3n que utiliz\u00f3 revel\u00f3 nada, escribi\u00f3 Freund en Mastodon. Esto inmediatamente le hizo sospechar y record\u00f3 una \u201cextra\u00f1a queja\u201d de un usuario de Postgres un par de semanas antes sobre Valgrind, el programa de Linux que busca errores de memoria. <\/p>\n<\/div>\n Despu\u00e9s de algunas investigaciones, Freund finalmente descubri\u00f3 lo que estaba mal. \u00abEl repositorio xz ascendente y los archivos tar xz tienen una puerta trasera\u00bb, se\u00f1al\u00f3 Freund en su correo electr\u00f3nico. El c\u00f3digo malicioso estaba en las versiones 5.6.0 y 5.6.1 de las herramientas y bibliotecas xz. <\/p>\n<\/div>\n Poco despu\u00e9s, la empresa de software empresarial de c\u00f3digo abierto Red Hat envi\u00f3 un alerta de seguridad de emergencia<\/a> para usuarios de Fedora Rawhide y Fedora Linux 40. Finalmente, la compa\u00f1\u00eda concluy\u00f3 que la versi\u00f3n beta de Fedora Linux 40 conten\u00eda dos versiones afectadas de las bibliotecas xz. Las versiones de Fedora Rawhide probablemente tambi\u00e9n recibieron las versiones 5.6.0 o 5.6.1. <\/p>\n<\/div>\n POR FAVOR, DETENGA INMEDIATAMENTE EL USO DE CUALQUIER INSTANCIA DE FEDORA RAWHIDE para trabajo o actividad personal. Fedora Rawhide volver\u00e1 a xz-5.4.x en breve y, una vez hecho esto, las instancias de Fedora Rawhide se podr\u00e1n volver a implementar de forma segura.<\/p>\n<\/blockquote>\n<\/div>\n Aunque una versi\u00f3n beta de Debian, la distribuci\u00f3n gratuita de Linux, conten\u00eda paquetes comprometidos, su equipo de seguridad actu\u00f3 r\u00e1pidamente<\/a> para revertirlos. \u00abEn este momento no se sabe que ninguna versi\u00f3n estable de Debian se haya visto afectada\u00bb, escribi\u00f3 Salvatore Bonaccorso de Debian en una alerta de seguridad a los usuarios el viernes por la tarde. <\/p>\n<\/div>\n M\u00e1s tarde, Freund identific\u00f3 a la persona que envi\u00f3 el c\u00f3digo malicioso como uno de los dos desarrolladores principales de xz Utils, conocido como JiaT75 o Jia Tan. \u201cDada la actividad durante varias semanas, el autor de la confirmaci\u00f3n est\u00e1 directamente involucrado o hubo alg\u00fan compromiso bastante grave en su sistema. Desafortunadamente, esta \u00faltima parece la explicaci\u00f3n menos probable, dado que se comunicaron en varias listas sobre las \u201csoluciones\u201d mencionadas anteriormente\u201d, escribi\u00f3 Freund en su an\u00e1lisis<\/a>despu\u00e9s de vincular varias soluciones realizadas por JiaT75. <\/p>\n<\/div>\n JiaT75 era un nombre familiar: hab\u00edan trabajado codo con codo con el desarrollador original del formato de archivo .xz, Lasse Collin, durante un tiempo. Como se\u00f1al\u00f3 el programador Russ Cox en su l\u00ednea de tiempo<\/a>JiaT75 comenz\u00f3 enviando parches aparentemente leg\u00edtimos a la lista de correo de XZ en octubre de 2021. <\/p>\n<\/div>\n Otros brazos del plan se desplegaron unos meses m\u00e1s tarde, cuando otras dos identidades, Jigar Kumar y Dennis Ens, comenz\u00f3 a enviar quejas por correo electr\u00f3nico<\/a> a Collin sobre los errores y el lento desarrollo del proyecto. Sin embargo, como se se\u00f1ala en informes de Evan Boehs<\/a> y otros, \u00abKumar\u00bb y \u00abEns\u00bb nunca fueron vistos fuera de la comunidad XZ, lo que lleva a los investigadores a creer que ambos son falsificaciones que existieron solo para ayudar a Jia Tan a ponerse en posici\u00f3n de entregar el c\u00f3digo de puerta trasera.<\/p>\n<\/div>\n \u201cLamento tus problemas de salud mental, pero es importante ser consciente de tus propios l\u00edmites. Entiendo que este es un proyecto de pasatiempo para todos los contribuyentes, pero la comunidad desea m\u00e1s\u201d, escribi\u00f3 Ens en un mensaje, mientras que Kumar dijo en otro que \u201cel progreso no ocurrir\u00e1 hasta que haya un nuevo mantenedor\u201d.<\/p>\n<\/div>\n En medio de este ir y venir, Collins escribi\u00f3 que \u201cno he perdido el inter\u00e9s, pero mi capacidad para cuidarme ha sido bastante limitada debido principalmente a problemas de salud mental a largo plazo, pero tambi\u00e9n a otras cosas\u201d, y sugiri\u00f3 que Jia Tan tomar\u00eda en un papel m\u00e1s importante. \u00abTambi\u00e9n es bueno tener en cuenta que se trata de un proyecto de hobby no remunerado\u00bb, concluy\u00f3. Los correos electr\u00f3nicos de \u201cKumar\u201d y \u201cEns\u201d continuaron hasta que Tan fue agregado como mantenedor m\u00e1s tarde ese a\u00f1o, capaz de hacer modificaciones e intentar introducir el paquete con puerta trasera en distribuciones de Linux con m\u00e1s autoridad.<\/p>\n<\/div>\n El incidente de la puerta trasera xz y sus consecuencias son un ejemplo tanto de la belleza del c\u00f3digo abierto como de una sorprendente vulnerabilidad en la infraestructura de Internet.<\/p>\n<\/div>\n\n