Un trabajador externo de Microsoft impidió que un código malicioso se propagara en versiones muy utilizadas de Linux a través de un formato de compresión llamado XZ Utils.
Linux, el sistema operativo de código abierto más utilizado del mundo, se libró por los pelos de un ciberataque masivo durante el fin de semana de Pascua, todo gracias a un voluntario.
La puerta trasera se había insertado en una versión reciente de un formato de compresión de Linux llamado XZ Utils, una herramienta poco conocida fuera del mundo Linux pero que se utiliza en casi todas las distribuciones de Linux para comprimir archivos grandes y facilitar su transferencia. Si se hubiera extendido más ampliamente, un número incalculable de sistemas podrían haber quedado comprometidos durante años.
Y, como señala Ars Technica en su exhaustivo resumen, el culpable había estado trabajando en el proyecto al aire libre.
La vulnerabilidad, insertada en el inicio de sesión remoto de Linux, sólo se exponía a una única clave, de modo que podía ocultarse de los análisis de ordenadores públicos. Como escribe Ben Thompson en Stratechery. "la mayoría de los ordenadores del mundo serían vulnerables y nadie lo sabría".
La historia del descubrimiento de la puerta trasera XZ comienza en la madrugada del 29 de marzo, cuando el desarrollador de Microsoft con sede en San Francisco, Andres Freund, publicó en Mastodon y envió un correo electrónico a la lista de correo de seguridad de OpenWall con el título: "backdoor in upstream xz/liblzma leading to ssh server compromise".
Puede leer también | Se ha encontrado el backdoor xz-utils en instalaciones de Kali Linux - Compruebe si hay infección de malware
Freund, que trabaja como "mantenedor" voluntario de PostgreSQL, una base de datos basada en Linux, observó algunas cosas extrañas en las últimas semanas mientras realizaba pruebas. Los inicios de sesión cifrados en liblzma, parte de la biblioteca de compresión XZ, consumían una tonelada de CPU. Ninguna de las herramientas de rendimiento que utilizó reveló nada, escribió Freund en Mastodon. Esto le hizo sospechar de inmediato, y recordó una "extraña queja" de un usuario de Postgres un par de semanas antes sobre Valgrind, el programa de Linux que comprueba si hay errores de memoria.
Tras algunas pesquisas, Freund acabó descubriendo el problema. "El repositorio de xz y los tarballs de xz han sido pirateados", señalaba Freund en su correo electrónico. El código malicioso estaba en las versiones 5.6.0 y 5.6.1 de las herramientas y bibliotecas xz.
Puede leer también | Una puerta trasera encontrada en una utilidad de Linux muy utilizada rompe las conexiones SSH cifradas
Poco después, la empresa de software de código abierto Red Hat envió una alerta de seguridad de emergencia para los usuarios de Fedora Rawhide y Fedora Linux 40. Finalmente, la empresa concluyó que la versión beta de Fedora Linux 40 contenía dos versiones afectadas de las bibliotecas xz. Las versiones de Fedora Rawhide probablemente recibieron también las versiones 5.6.0 o 5.6.1.
Aunque una versión beta de Debian, la distribución gratuita de Linux, contenía paquetes comprometidos, su equipo de seguridad actuó rápidamente para revertirlos. "En este momento no se conoce ninguna versión estable de Debian que esté afectada", escribió Salvatore Bonaccorso, de Debian, en una alerta de seguridad a los usuarios el viernes por la noche.
Freund identificó más tarde a la persona que envió el código malicioso como uno de los dos principales desarrolladores de xz Utils, conocido como JiaT75, o Jia Tan. "Dada la actividad durante varias semanas, o bien el autor está directamente implicado, o bien su sistema se ha visto gravemente comprometido. Lamentablemente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las "soluciones" mencionadas anteriormente", escribió Freund en su análisis, después de vincular varias soluciones que fueron hechas por JiaT75.
Puede leer también | Urgente: Hackers chinos habrian liberado una puerta trasera de Linux
JiaT75 era un nombre familiar: habían trabajado codo con codo con el desarrollador original del formato de archivo .xz, Lasse Collin, durante un tiempo. Como señaló el programador Russ Cox en su cronología, JiaT75 empezó enviando parches aparentemente legítimos a la lista de correo de XZ en octubre de 2021.
Pocos meses después, otras dos identidades, Jigar Kumar y Dennis Ens, empezaron a enviar por correo electrónico a Collin quejas sobre fallos y el lento desarrollo del proyecto. Sin embargo, como se señala en los informes de Evan Boehs y otros, "Kumar" y "Ens" nunca fueron vistos fuera de la comunidad XZ, lo que lleva a los investigadores a creer que ambos son falsos que existían sólo para ayudar a Jia Tan a ponerse en posición para entregar el código oculto.
"Lamento tus problemas de salud mental, pero es importante ser consciente de tus propios límites. Entiendo que este es un proyecto de hobby para todos los colaboradores, pero la comunidad desea más", escribió Ens en un mensaje, mientras que Kumar dijo en otro que "no habrá progreso hasta que haya un nuevo mantenedor".
Puede leer también | Una aparente puerta trasera en el Kernel de Linux Un error de GitHub
En medio de estas idas y venidas, Collins escribió que "no he perdido el interés, pero mi capacidad para ocuparme se ha visto bastante limitada debido sobre todo a problemas de salud mental de larga duración, pero también a otras cosas", y sugirió que Jia Tan asumiera un papel más importante. "También es bueno tener en cuenta que se trata de un proyecto de hobby no remunerado", concluyó. Los correos electrónicos de "Kumar" y "Ens" continuaron hasta que Tan fue añadida como mantenedora a finales de ese año, capaz de hacer modificaciones e intentar introducir el paquete backdoored en las distribuciones de Linux con más autoridad.
El incidente de la puerta trasera xz y sus consecuencias son un ejemplo tanto de la belleza del código abierto como de una sorprendente vulnerabilidad en la infraestructura de Internet.
Un desarrollador detrás de FFmpeg, un popular paquete multimedia de código abierto, destacó el problema en un tuit, diciendo "El fiasco de xz ha demostrado cómo la dependencia de voluntarios no remunerados puede causar grandes problemas. Corporaciones multimillonarias esperan apoyo gratuito y urgente de voluntarios". Y aportaron recibos, señalando cómo solucionaron un fallo de "alta prioridad" que afectaba a Microsoft Teams.
A pesar de la dependencia de Microsoft de su software, el desarrollador escribe: "Después de solicitar educadamente a Microsoft un contrato de soporte para el mantenimiento a largo plazo, ofrecieron en su lugar un pago único de unos pocos miles de dólares... las inversiones en mantenimiento y sostenibilidad son poco sexy y probablemente no consigan el ascenso de un mando intermedio, pero se amortizan mil veces a lo largo de muchos años."
Los detalles sobre quién está detrás de "JiaT75", cómo ejecutó su plan y el alcance de los daños están siendo desenterrados por un ejército de desarrolladores y profesionales de la ciberseguridad, tanto en las redes sociales como en foros en línea. Pero eso sucede sin el apoyo financiero directo de muchas de las empresas y organizaciones que se benefician de poder utilizar software seguro.