Hace tres días unos investigadores revelaron el descubrimiento de una puerta trasera colocada intencionadamente en xz Utils, una utilidad de compresión de datos de código abierto disponible en casi todas las instalaciones de Linux y otros sistemas operativos de tipo Unix.
Es probable que la persona o personas detrás de este proyecto hayan invertido años en él. Y es probable que estuvieran a punto de incorporar la actualización de la puerta trasera a Debian y Red Hat, las dos mayores distribuciones de Linux, cuando un desarrollador de software con ojo de lince descubrió algo sospechoso.
Los investigadores han pasado el fin de semana reuniendo pistas y en Ars Technica lo ha resumido de manera magistral. Esto es lo que se sabe hasta ahora.
¿Qué es xz Utils?
xz Utils es casi omnipresente en Linux. Proporciona compresión de datos sin pérdidas en prácticamente todos los sistemas operativos tipo Unix, incluido Linux.
xz Utils proporciona funciones críticas para comprimir y descomprimir datos durante todo tipo de operaciones. xz Utils también es compatible con el formato heredado .lzma, lo que hace que este componente sea aún más crucial.
¿Qué ha ocurrido?
Andres Freund, un desarrollador e ingeniero que trabaja en las ofertas PostgreSQL de Microsoft, estaba solucionando problemas de rendimiento que un sistema Debian estaba experimentando con SSH, el protocolo más utilizado para iniciar sesión de forma remota en dispositivos a través de Internet.
En concreto, los inicios de sesión SSH consumían demasiados ciclos de CPU y generaban errores con valgrind, una utilidad para monitorizar la memoria del ordenador.
Gracias a una combinación de suerte y a la atenta mirada de Freund, descubrió que los problemas se debían a actualizaciones de xz Utils. El viernes, Freund acudió a la Open Source Security List para revelar que las actualizaciones eran el resultado de alguien que había introducido intencionadamente una puerta trasera en el software de compresión.
¿Qué hace la puerta trasera?
El código malicioso añadido a las versiones 5.6.0 y 5.6.1 de xz Utils modificaba el funcionamiento del software al realizar operaciones relacionadas con la compresión o descompresión lzma. Cuando estas funciones implicaban SSH, permitían ejecutar código malicioso con privilegios de root.
Este código permitía a alguien en posesión de una clave de cifrado predeterminada iniciar sesión en el sistema backdoored a través de SSH. A partir de ese momento, esa persona tendría el mismo nivel de control que cualquier administrador autorizado.
