La investigación de un fallo de rendimiento desvela en Linux una puerta trasera presente en xz Utils

El desarrollador Andres Freund detectó un rendimiento anómalo en el sistema Debian con el protocolo de inicio de sesión remoto SSH, ya que consumía demasiados recursos de la CPU lo que, a su vez, causaba fallos en la herramienta de depuración de memoria Valgrind.

al investigar la causa de este problema, el desarrollador descubrió una puerta trasera que un actor o grupo malicioso había implantado en una reciente actualización de xz, una herramienta de comprensión sin pérdida ampliamente usada en Linux.

El código malicioso encontrado estaba diseñado para impactar en las funciones de SSH y ejecutarse con privilegios raíz, esto es, que el actor malicioso conseguía la clave de encriptación para iniciar sesión con SSH en el equipo infectado obteniendo de esta forma control en remoto en todo el sistema.

Aunque no se sabe quién o quiénes están detrás, los investigadores de seguridad apuntan a la posibilidad de que se trate de un usuario conocido como JiaT575 o Jia Tan, como recogen en el blog de Deepfactor y el medio especializado Ars Technica. Este actor hizo su primer 'commit' en 2021, un cambio en el proyecto libarchive, y un año después comenzó a involucrarse en xz Utils y a enviar parches y actualizaciones.

La puerta trasera se encuentra en las versiones 5.6.0 y 5.6.1, las más recientes de xz Utils, y por ello desde Red Hat, una de las empresas que trabajan con Linux, han instado a los usuarios a no actualizar o, en caso de haberlo hecho, a volver a na versión anterior a las afectadas.