La comunidad de ciberseguridad continúa lidiando con los efectos persistentes de la puerta trasera XZ Utils, un sofisticado ataque de la cadena de suministro que sacudió a la industria en marzo de 2024.
Lo que comenzó como una campaña de dos años cuidadosamente orquestada por el desarrollador seudónimo ‘Jia Tan’ se ha convertido en una amenaza persistente que se extiende mucho más allá de su descubrimiento inicial.
El actor malicioso construyó metódicamente credibilidad dentro del proyecto XZ Utils a través de numerosas contribuciones legítimas antes de insertar una puerta trasera compleja en los paquetes XZ-Utils, que afectan las principales distribuciones de Linux, incluidos Debian, Fedora y OpenSuse.
La puerta trasera opera a través de un mecanismo sofisticado integrado dentro de la biblioteca Liblzma.
Cuando se desencadena por las interacciones del cliente con servidores SSH infectados, el código malicioso establece tres ganchos críticos dirigidos a las funciones RSA_Public_Decrypt, RSA_GET0_KEY y EVP_PKEY_SET1_RSA.
Esta intrincada cadena de ataque comienza con los resonedores de IFUNC modificados para las funciones LZMA_CRC32 y LZMA_CRC64, creando una vía para la funcionalidad de puerta trasera que permaneció sin detectar durante meses.
Investigaciones recientes de investigadores binarly han revelado que la puerta trasera XZ Utils continúa planteando riesgos significativos para entornos contenedores más de un año después de su descubrimiento inicial.
Su análisis exhaustivo de los repositorios de Docker Hub ha descubierto más de 35 imágenes infectadas, con 12 contenedores basados en Debian todavía disponibles públicamente y distribuyendo activamente el código comprometido.
Este descubrimiento destaca un punto ciego crítico en la seguridad de los contenedores, donde los artefactos históricos que contienen vulnerabilidades conocidas persisten en los repositorios públicos.
Los hallazgos del equipo de investigación se extienden más allá de las imágenes infectadas de primera generación. A través del escaneo sistemático de la extensa red de repositorio de Docker Hub, analistas binarly identificado Numerosos contenedores de segundo orden construidos sobre las imágenes de la base de Debian comprometidas.
Respuesta del mantenedor Debian a nuestra divulgación (fuente – binarly)
Estos contenedores derivados, que abarcan varios casos de uso, desde entornos de desarrollo hasta aplicaciones especializadas, demuestran cómo los compromisos de la cadena de suministro pueden propagarse a través de ecosistemas contenedores con una visibilidad mínima.
Mecanismos de persistencia y propagación
La puerta trasera persistencia En los entornos de Docker revela un desafío fundamental en la gestión del ciclo de vida de seguridad de los contenedores. A diferencia de las actualizaciones de software tradicionales que se pueden parchear sistemáticamente, las imágenes de contenedores a menudo siguen siendo artefactos históricos estáticos una vez publicadas.
El código malicioso integrado en estos contenedores mantiene su funcionalidad a través de la integración de la biblioteca Liblzma.
La implementación técnica aprovecha las modificaciones de resolución de IFUNC que redirigen la función de compresión estándar llaman a través de controladores maliciosos.
Cuando el contenedor inicializa los servicios SSH, la puerta trasera establece sus ganchos dentro del contexto del proceso SSHD, creando canales de acceso persistentes que evitan el monitoreo de seguridad tradicional.
Este enfoque demuestra la comprensión profunda del atacante de las tecnologías de contenedorización y las operaciones de Linux a nivel del sistema, lo que hace que la detección sea particularmente desafiante para las organizaciones que dependen únicamente de las herramientas de escaneo de vulnerabilidad a nivel de superficie.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
