CCN-CERT AV 06/24 Actualizaciones de seguridad para XZ Utils

Published: 01 Abril 2024

Fecha de publicación: 01/04/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad por parte del fabricante Red Hat, con una vulnerabilidad de severidad crítica que afecta a la librería de compresión de datos XZ Utils, un formato de compresión de propósito general presente en casi todas las distribuciones de Linux, tanto en proyectos comunitarios como en distribuciones de productos comerciales.

Por el momento se ha comprobado que esta vulnerabilidad solo afecta a las distribuciones Fedora 40, Fedora Rawhide, Alpine, openSUSE, Arch Linux y Kali Linux.

A continuación, se destaca la vulnerabilidad reportada en el aviso y catalogada por el fabricante con una severidad crítica. Dicho fallo ha sido descubierto por Andres Freund y puede permitir a un usuario no autenticado obtener accesos no autorizados:

CVE-2024-3094: Vulnerabilidad causada por la presencia de una funcionalidad dañina incrustada en el código (backdoor) de la aplicación XZ Utils, la cual permite a un atacante remoto obtener acceso no autorizado al sistema.
Se ha descubierto código dañino en los tarballs upstream de xz que, en el proceso de compilación de liblzma, extrae un archivo objeto precompilado de un fichero de prueba camuflado existente en el código fuente, utilizándolo para modificar funciones específicas en el código mientras se construye el paquete liblzma. Esta acción provoca que liblzma sea utilizada por software enlazado a esta librería, interceptando y modificando la interacción de datos con ella.

La base de datos del NIST ha registrado esta vulnerabilidad, pero aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. Red Hat, en cambio, ha clasificado la vulnerabilidad con una severidad crítica. Actualmente no se conoce disponibilidad de exploits que aprovechen esta vulnerabilidad, si bien se ha publicado una prueba de concepto (PoC) sobre los detalles del fallo publicado.

Recursos afectados

La vulnerabilidad reportada afecta a los siguientes productos y a las versiones correspondientes en las distribuciones Fedora 40, Fedora Rawhide, Alpine, openSUSE, Arch Linux y Kali Linux:

XZ Utils: versión 5.6.0; versión 5.6.1.

No se conocen versiones estables de Debian afectadas. Los paquetes comprometidos formaban parte de las distribuciones de pruebas, inestables y experimentales. Asimismo, las distribuciones Red Hat Enterprise Linux (RHEL) tampoco se ven afectadas por esta vulnerabilidad.

Solución a la vulnerabilidad

Desde la compañía se recomienda actualizar los sistemas afectados de acuerdo con su distribución específica, o bien a versiones anteriores a la inclusión de XZ Utils 5.6.0 y 5.6.1, o bien migrar a versiones actualizadas.

A continuación se muestra en detalle cada caso identificando la distribución afectada:

Fedora 40: se recomienda migrar a versiones anteriores, en concreto a la versión 5.4.x.
Fedora Rawhide: se recomienda migrar a versiones anteriores, en concreto a la versión 5.4.x.
Apine: se recomienda migrar a versiones anteriores, en concreto a la versión 5.4.x.
openSUSE: desde el distribuidor se ha lanzado una solución para los usuarios afectados.
Arch Linux: se recomienda actualizar a la versión 5.6.1-2, o superiores.
Kali Linux: el impacto de esta vulnerabilidad afectó a Kali Linux entre el 26 y el 29 de marzo. Si se actualizó su instalación de Kali el 26 de marzo o después, es crucial aplicar cuanto antes las últimas actualizaciones para solucionar este problema. Las actualizaciones anteriores al 26 de marzo no se encuentran afectadas por esta vulnerabilidad.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Atentamente,

Equipo CCN-CERT