La puerta trasera de XZ Utils en Linux apunta a un problema más amplio de seguridad de la cadena de suministro, y necesitamos algo más que espíritu comunitario para mantenerla a raya.
El sector de la ciberseguridad ha vuelto a ponerse en alerta tras el descubrimiento de un insidioso fallo en la cadena de suministro de software. La vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se registra bajo el código CVE-2024-3094 y se reduce a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema en el que se confiaba. Permitiendo la ejecución remota de código (RCE) en algunos casos si se explota con éxito, representa un problema de alta gravedad con la capacidad de causar graves daños en los procesos de construcción de software establecidos.
Afortunadamente, otro mantenedor descubrió esta amenaza antes de que el código malicioso entrara en las versiones estables de Linux, pero todavía plantea un problema para aquellos que han comenzado a ejecutar la versión 5.6.0. y 5.6.1. de XZ Utils como parte de Fedora Rawhide, y se insta a las organizaciones a parchearlo como una prioridad de nivel de emergencia. Si este descubrimiento no se hiciera a tiempo, el perfil de riesgo lo convertiría en uno de los ataques a la cadena de suministro más devastadores de los que se tiene constancia, quizá eclipsando incluso a SolarWinds.
La dependencia de los voluntarios de la comunidad para mantener los sistemas críticos está ampliamente documentada, pero rara vez se habla de ella hasta que salen a la superficie problemas de gran impacto como este incidente. Aunque su incansable labor es esencial para el mantenimiento del software de código abierto, este incidente pone de manifiesto la necesidad de hacer hincapié en la concienciación y las aptitudes de los desarrolladores en materia de seguridad, por no hablar de la necesidad de reforzar los controles de acceso a los repositorios de software.
¿Qué es el backdoor de XZ Utils y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que las últimas versiones de las herramientas y librerías de compresión "XZ" contienen un código malicioso que parece haber sido creado a propósito para facilitar el acceso no autorizado de terceros.Cómo se inyectó este código malicioso será probablemente objeto de intenso estudio en el futuro, pero equivale a un sofisticado y paciente ejercicio de ingeniería social de años de duración por parte del actor de la amenaza, un atacante seudónimo llamado "Jia Tan". Este individuo dedicó incontables horas a ganarse la confianza de otros mantenedores, haciendo contribuciones legítimas al proyecto XZ Utils y a la comunidad durante más de dos años, hasta que finalmente se ganó el estatus de "mantenedor de confianza" después de que múltiples cuentas de títeres de la sombra erosionaran la confianza en el propietario voluntario del proyecto, Lasse Collin:
Este escenario inusual es un ejemplo perfecto de una persona altamente técnica que sigue siendo víctima de tácticas normalmente reservadas para su uso contra aquellos que son menos expertos, lo que demuestra la necesidad de una formación de concienciación de seguridad precisa y basada en roles. Sólo gracias a la curiosidad y rapidez mental de Andres Freund, ingeniero de software de Microsoft y mantenedor de PostgreSQL, se descubrió la puerta trasera y se revirtieron las versiones, deteniendo así lo que podría haber sido el ataque a la cadena de suministro más devastador de los últimos tiempos.
La puerta trasera en sí está siendo rastreada oficialmente como una vulnerabilidad de la mayor gravedad posible en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permitía la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluyendo Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible para ofuscar el paquete malicioso, que, cuando se activa para construirse a sí mismo durante el proceso de construcción, dificulta la autenticación en SSHd a través de systemd.Como Red Hat detalló, en las circunstancias adecuadas, esta interferencia podría potencialmente permitir a un atacante romper la autenticación SSHd y obtener acceso remoto no autorizado a todo el sistema.
Microsoft, entre otros, ha publicado una guía completa sobre el escaneo de sistemas en busca de instancias del exploit y la mitigación de su efecto, y la acción inmediata recomendada por CISA es que los desarrolladores y usuarios afectados deben actualizar XZ Utils a una versión no comprometida, como XZ Utils 5.4.6 Estable.
Prevenir este tipo de ataque es increíblemente difícil - especialmente cuando se utilizan componentes de código abierto en el software - ya que hay muy poca garantía y transparencia sobre la seguridad de la cadena de suministro. Ya hemos combatido los fallos accidentales en la cadena de suministro de software, pero este riesgo se ha elevado hasta incluir fallos de seguridad colocados deliberadamente con malicia para comprometer la seguridad del código abierto.
La mayoría de los desarrolladores no serán capaces de detener un ataque de esta naturaleza a menos que tengan un fuerte sentido de la conciencia de la seguridad, conocimientos sanos de seguridad y una pizca de paranoia. Es casi un caso de requerir una mentalidad de actor de amenazas. Sin embargo, una consideración principal debería centrarse siempre en los repositorios de código fuente controlados internamente (es decir, no de código abierto). Sólo deberían tener acceso a ellos las personas con conocimientos de seguridad pertinentes y verificados. Los profesionales de la seguridad de las aplicaciones podrían considerar una configuración como los controles de seguridad a nivel de rama, que sólo permiten a los desarrolladores con conocimientos de seguridad introducir cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero hace falta (o debería hacer falta) un pueblo para mantener un software seguro.
Para quienes no pertenecen al ámbito de la ingeniería de software, la noción de que una animada comunidad de voluntarios mantiene concienzudamente sistemas críticos en su propio tiempo es un concepto difícil de entender, pero esta es la naturaleza del desarrollo de código abierto, y sigue siendo un área de riesgo crítico para los profesionales de la seguridad que protegen la cadena de suministro.
El software de código abierto es una parte vital del ecosistema digital de prácticamente todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderamente heroicos en su búsqueda desinteresada del progreso tecnológico y la integridad, pero es una farsa mantenerlos aislados. En estos tiempos centrados en DevSecOps, la seguridad es una responsabilidad compartida, y cada desarrollador debe estar armado con el conocimiento y las herramientas adecuadas para navegar por los problemas de seguridad que probablemente se encuentren en su día a día. La concienciación sobre la seguridad y las habilidades prácticas no deberían ser negociables en el proceso de desarrollo de software, y depende de los líderes de seguridad influir en el cambio a nivel empresarial.
Construyahoy mismo una próspera cultura de la seguridad en su organización con un profundo Courses de Secure Code Warrior.
Se ha descubierto una vulnerabilidad crítica, CVE-2024-3094, en la biblioteca de compresión de datos XZ Utils utilizada por las principales distribuciones de Linux, introducida a través de una puerta trasera por un actor de amenaza. Este problema de alta gravedad permite la posible ejecución remota de código, lo que plantea riesgos significativos para los procesos de creación de software. El fallo afecta a las primeras versiones (5.6.0 y 5.6.1) de XZ Utils en Fedora Rawhide, con un llamamiento urgente a las organizaciones para que apliquen los parches. El incidente subraya el papel fundamental de los voluntarios de la comunidad en el mantenimiento del software de código abierto y destaca la necesidad de mejorar las prácticas de seguridad y el control de acceso dentro del ciclo de vida de desarrollo del software.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El sector de la ciberseguridad ha vuelto a ponerse en alerta tras el descubrimiento de un insidioso fallo en la cadena de suministro de software. La vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se registra bajo el código CVE-2024-3094 y se reduce a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema en el que se confiaba. Permitiendo la ejecución remota de código (RCE) en algunos casos si se explota con éxito, representa un problema de alta gravedad con la capacidad de causar graves daños en los procesos de construcción de software establecidos.
Afortunadamente, otro mantenedor descubrió esta amenaza antes de que el código malicioso entrara en las versiones estables de Linux, pero todavía plantea un problema para aquellos que han comenzado a ejecutar la versión 5.6.0. y 5.6.1. de XZ Utils como parte de Fedora Rawhide, y se insta a las organizaciones a parchearlo como una prioridad de nivel de emergencia. Si este descubrimiento no se hiciera a tiempo, el perfil de riesgo lo convertiría en uno de los ataques a la cadena de suministro más devastadores de los que se tiene constancia, quizá eclipsando incluso a SolarWinds.
La dependencia de los voluntarios de la comunidad para mantener los sistemas críticos está ampliamente documentada, pero rara vez se habla de ella hasta que salen a la superficie problemas de gran impacto como este incidente. Aunque su incansable labor es esencial para el mantenimiento del software de código abierto, este incidente pone de manifiesto la necesidad de hacer hincapié en la concienciación y las aptitudes de los desarrolladores en materia de seguridad, por no hablar de la necesidad de reforzar los controles de acceso a los repositorios de software.
¿Qué es el backdoor de XZ Utils y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que las últimas versiones de las herramientas y librerías de compresión "XZ" contienen un código malicioso que parece haber sido creado a propósito para facilitar el acceso no autorizado de terceros.Cómo se inyectó este código malicioso será probablemente objeto de intenso estudio en el futuro, pero equivale a un sofisticado y paciente ejercicio de ingeniería social de años de duración por parte del actor de la amenaza, un atacante seudónimo llamado "Jia Tan". Este individuo dedicó incontables horas a ganarse la confianza de otros mantenedores, haciendo contribuciones legítimas al proyecto XZ Utils y a la comunidad durante más de dos años, hasta que finalmente se ganó el estatus de "mantenedor de confianza" después de que múltiples cuentas de títeres de la sombra erosionaran la confianza en el propietario voluntario del proyecto, Lasse Collin:
Este escenario inusual es un ejemplo perfecto de una persona altamente técnica que sigue siendo víctima de tácticas normalmente reservadas para su uso contra aquellos que son menos expertos, lo que demuestra la necesidad de una formación de concienciación de seguridad precisa y basada en roles. Sólo gracias a la curiosidad y rapidez mental de Andres Freund, ingeniero de software de Microsoft y mantenedor de PostgreSQL, se descubrió la puerta trasera y se revirtieron las versiones, deteniendo así lo que podría haber sido el ataque a la cadena de suministro más devastador de los últimos tiempos.
La puerta trasera en sí está siendo rastreada oficialmente como una vulnerabilidad de la mayor gravedad posible en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permitía la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluyendo Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible para ofuscar el paquete malicioso, que, cuando se activa para construirse a sí mismo durante el proceso de construcción, dificulta la autenticación en SSHd a través de systemd.Como Red Hat detalló, en las circunstancias adecuadas, esta interferencia podría potencialmente permitir a un atacante romper la autenticación SSHd y obtener acceso remoto no autorizado a todo el sistema.
Microsoft, entre otros, ha publicado una guía completa sobre el escaneo de sistemas en busca de instancias del exploit y la mitigación de su efecto, y la acción inmediata recomendada por CISA es que los desarrolladores y usuarios afectados deben actualizar XZ Utils a una versión no comprometida, como XZ Utils 5.4.6 Estable.
Prevenir este tipo de ataque es increíblemente difícil - especialmente cuando se utilizan componentes de código abierto en el software - ya que hay muy poca garantía y transparencia sobre la seguridad de la cadena de suministro. Ya hemos combatido los fallos accidentales en la cadena de suministro de software, pero este riesgo se ha elevado hasta incluir fallos de seguridad colocados deliberadamente con malicia para comprometer la seguridad del código abierto.
La mayoría de los desarrolladores no serán capaces de detener un ataque de esta naturaleza a menos que tengan un fuerte sentido de la conciencia de la seguridad, conocimientos sanos de seguridad y una pizca de paranoia. Es casi un caso de requerir una mentalidad de actor de amenazas. Sin embargo, una consideración principal debería centrarse siempre en los repositorios de código fuente controlados internamente (es decir, no de código abierto). Sólo deberían tener acceso a ellos las personas con conocimientos de seguridad pertinentes y verificados. Los profesionales de la seguridad de las aplicaciones podrían considerar una configuración como los controles de seguridad a nivel de rama, que sólo permiten a los desarrolladores con conocimientos de seguridad introducir cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero hace falta (o debería hacer falta) un pueblo para mantener un software seguro.
Para quienes no pertenecen al ámbito de la ingeniería de software, la noción de que una animada comunidad de voluntarios mantiene concienzudamente sistemas críticos en su propio tiempo es un concepto difícil de entender, pero esta es la naturaleza del desarrollo de código abierto, y sigue siendo un área de riesgo crítico para los profesionales de la seguridad que protegen la cadena de suministro.
El software de código abierto es una parte vital del ecosistema digital de prácticamente todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderamente heroicos en su búsqueda desinteresada del progreso tecnológico y la integridad, pero es una farsa mantenerlos aislados. En estos tiempos centrados en DevSecOps, la seguridad es una responsabilidad compartida, y cada desarrollador debe estar armado con el conocimiento y las herramientas adecuadas para navegar por los problemas de seguridad que probablemente se encuentren en su día a día. La concienciación sobre la seguridad y las habilidades prácticas no deberían ser negociables en el proceso de desarrollo de software, y depende de los líderes de seguridad influir en el cambio a nivel empresarial.
Construyahoy mismo una próspera cultura de la seguridad en su organización con un profundo Courses de Secure Code Warrior.
El sector de la ciberseguridad ha vuelto a ponerse en alerta tras el descubrimiento de un insidioso fallo en la cadena de suministro de software. La vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se registra bajo el código CVE-2024-3094 y se reduce a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema en el que se confiaba. Permitiendo la ejecución remota de código (RCE) en algunos casos si se explota con éxito, representa un problema de alta gravedad con la capacidad de causar graves daños en los procesos de construcción de software establecidos.
Afortunadamente, otro mantenedor descubrió esta amenaza antes de que el código malicioso entrara en las versiones estables de Linux, pero todavía plantea un problema para aquellos que han comenzado a ejecutar la versión 5.6.0. y 5.6.1. de XZ Utils como parte de Fedora Rawhide, y se insta a las organizaciones a parchearlo como una prioridad de nivel de emergencia. Si este descubrimiento no se hiciera a tiempo, el perfil de riesgo lo convertiría en uno de los ataques a la cadena de suministro más devastadores de los que se tiene constancia, quizá eclipsando incluso a SolarWinds.
La dependencia de los voluntarios de la comunidad para mantener los sistemas críticos está ampliamente documentada, pero rara vez se habla de ella hasta que salen a la superficie problemas de gran impacto como este incidente. Aunque su incansable labor es esencial para el mantenimiento del software de código abierto, este incidente pone de manifiesto la necesidad de hacer hincapié en la concienciación y las aptitudes de los desarrolladores en materia de seguridad, por no hablar de la necesidad de reforzar los controles de acceso a los repositorios de software.
¿Qué es el backdoor de XZ Utils y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que las últimas versiones de las herramientas y librerías de compresión "XZ" contienen un código malicioso que parece haber sido creado a propósito para facilitar el acceso no autorizado de terceros.Cómo se inyectó este código malicioso será probablemente objeto de intenso estudio en el futuro, pero equivale a un sofisticado y paciente ejercicio de ingeniería social de años de duración por parte del actor de la amenaza, un atacante seudónimo llamado "Jia Tan". Este individuo dedicó incontables horas a ganarse la confianza de otros mantenedores, haciendo contribuciones legítimas al proyecto XZ Utils y a la comunidad durante más de dos años, hasta que finalmente se ganó el estatus de "mantenedor de confianza" después de que múltiples cuentas de títeres de la sombra erosionaran la confianza en el propietario voluntario del proyecto, Lasse Collin:
Este escenario inusual es un ejemplo perfecto de una persona altamente técnica que sigue siendo víctima de tácticas normalmente reservadas para su uso contra aquellos que son menos expertos, lo que demuestra la necesidad de una formación de concienciación de seguridad precisa y basada en roles. Sólo gracias a la curiosidad y rapidez mental de Andres Freund, ingeniero de software de Microsoft y mantenedor de PostgreSQL, se descubrió la puerta trasera y se revirtieron las versiones, deteniendo así lo que podría haber sido el ataque a la cadena de suministro más devastador de los últimos tiempos.
La puerta trasera en sí está siendo rastreada oficialmente como una vulnerabilidad de la mayor gravedad posible en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permitía la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluyendo Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible para ofuscar el paquete malicioso, que, cuando se activa para construirse a sí mismo durante el proceso de construcción, dificulta la autenticación en SSHd a través de systemd.Como Red Hat detalló, en las circunstancias adecuadas, esta interferencia podría potencialmente permitir a un atacante romper la autenticación SSHd y obtener acceso remoto no autorizado a todo el sistema.
Microsoft, entre otros, ha publicado una guía completa sobre el escaneo de sistemas en busca de instancias del exploit y la mitigación de su efecto, y la acción inmediata recomendada por CISA es que los desarrolladores y usuarios afectados deben actualizar XZ Utils a una versión no comprometida, como XZ Utils 5.4.6 Estable.
Prevenir este tipo de ataque es increíblemente difícil - especialmente cuando se utilizan componentes de código abierto en el software - ya que hay muy poca garantía y transparencia sobre la seguridad de la cadena de suministro. Ya hemos combatido los fallos accidentales en la cadena de suministro de software, pero este riesgo se ha elevado hasta incluir fallos de seguridad colocados deliberadamente con malicia para comprometer la seguridad del código abierto.
La mayoría de los desarrolladores no serán capaces de detener un ataque de esta naturaleza a menos que tengan un fuerte sentido de la conciencia de la seguridad, conocimientos sanos de seguridad y una pizca de paranoia. Es casi un caso de requerir una mentalidad de actor de amenazas. Sin embargo, una consideración principal debería centrarse siempre en los repositorios de código fuente controlados internamente (es decir, no de código abierto). Sólo deberían tener acceso a ellos las personas con conocimientos de seguridad pertinentes y verificados. Los profesionales de la seguridad de las aplicaciones podrían considerar una configuración como los controles de seguridad a nivel de rama, que sólo permiten a los desarrolladores con conocimientos de seguridad introducir cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero hace falta (o debería hacer falta) un pueblo para mantener un software seguro.
Para quienes no pertenecen al ámbito de la ingeniería de software, la noción de que una animada comunidad de voluntarios mantiene concienzudamente sistemas críticos en su propio tiempo es un concepto difícil de entender, pero esta es la naturaleza del desarrollo de código abierto, y sigue siendo un área de riesgo crítico para los profesionales de la seguridad que protegen la cadena de suministro.
El software de código abierto es una parte vital del ecosistema digital de prácticamente todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderamente heroicos en su búsqueda desinteresada del progreso tecnológico y la integridad, pero es una farsa mantenerlos aislados. En estos tiempos centrados en DevSecOps, la seguridad es una responsabilidad compartida, y cada desarrollador debe estar armado con el conocimiento y las herramientas adecuadas para navegar por los problemas de seguridad que probablemente se encuentren en su día a día. La concienciación sobre la seguridad y las habilidades prácticas no deberían ser negociables en el proceso de desarrollo de software, y depende de los líderes de seguridad influir en el cambio a nivel empresarial.
Construyahoy mismo una próspera cultura de la seguridad en su organización con un profundo Courses de Secure Code Warrior.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El sector de la ciberseguridad ha vuelto a ponerse en alerta tras el descubrimiento de un insidioso fallo en la cadena de suministro de software. La vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se registra bajo el código CVE-2024-3094 y se reduce a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema en el que se confiaba. Permitiendo la ejecución remota de código (RCE) en algunos casos si se explota con éxito, representa un problema de alta gravedad con la capacidad de causar graves daños en los procesos de construcción de software establecidos.
Afortunadamente, otro mantenedor descubrió esta amenaza antes de que el código malicioso entrara en las versiones estables de Linux, pero todavía plantea un problema para aquellos que han comenzado a ejecutar la versión 5.6.0. y 5.6.1. de XZ Utils como parte de Fedora Rawhide, y se insta a las organizaciones a parchearlo como una prioridad de nivel de emergencia. Si este descubrimiento no se hiciera a tiempo, el perfil de riesgo lo convertiría en uno de los ataques a la cadena de suministro más devastadores de los que se tiene constancia, quizá eclipsando incluso a SolarWinds.
La dependencia de los voluntarios de la comunidad para mantener los sistemas críticos está ampliamente documentada, pero rara vez se habla de ella hasta que salen a la superficie problemas de gran impacto como este incidente. Aunque su incansable labor es esencial para el mantenimiento del software de código abierto, este incidente pone de manifiesto la necesidad de hacer hincapié en la concienciación y las aptitudes de los desarrolladores en materia de seguridad, por no hablar de la necesidad de reforzar los controles de acceso a los repositorios de software.
¿Qué es el backdoor de XZ Utils y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que las últimas versiones de las herramientas y librerías de compresión "XZ" contienen un código malicioso que parece haber sido creado a propósito para facilitar el acceso no autorizado de terceros.Cómo se inyectó este código malicioso será probablemente objeto de intenso estudio en el futuro, pero equivale a un sofisticado y paciente ejercicio de ingeniería social de años de duración por parte del actor de la amenaza, un atacante seudónimo llamado "Jia Tan". Este individuo dedicó incontables horas a ganarse la confianza de otros mantenedores, haciendo contribuciones legítimas al proyecto XZ Utils y a la comunidad durante más de dos años, hasta que finalmente se ganó el estatus de "mantenedor de confianza" después de que múltiples cuentas de títeres de la sombra erosionaran la confianza en el propietario voluntario del proyecto, Lasse Collin:
Este escenario inusual es un ejemplo perfecto de una persona altamente técnica que sigue siendo víctima de tácticas normalmente reservadas para su uso contra aquellos que son menos expertos, lo que demuestra la necesidad de una formación de concienciación de seguridad precisa y basada en roles. Sólo gracias a la curiosidad y rapidez mental de Andres Freund, ingeniero de software de Microsoft y mantenedor de PostgreSQL, se descubrió la puerta trasera y se revirtieron las versiones, deteniendo así lo que podría haber sido el ataque a la cadena de suministro más devastador de los últimos tiempos.
La puerta trasera en sí está siendo rastreada oficialmente como una vulnerabilidad de la mayor gravedad posible en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permitía la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluyendo Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible para ofuscar el paquete malicioso, que, cuando se activa para construirse a sí mismo durante el proceso de construcción, dificulta la autenticación en SSHd a través de systemd.Como Red Hat detalló, en las circunstancias adecuadas, esta interferencia podría potencialmente permitir a un atacante romper la autenticación SSHd y obtener acceso remoto no autorizado a todo el sistema.
Microsoft, entre otros, ha publicado una guía completa sobre el escaneo de sistemas en busca de instancias del exploit y la mitigación de su efecto, y la acción inmediata recomendada por CISA es que los desarrolladores y usuarios afectados deben actualizar XZ Utils a una versión no comprometida, como XZ Utils 5.4.6 Estable.
Prevenir este tipo de ataque es increíblemente difícil - especialmente cuando se utilizan componentes de código abierto en el software - ya que hay muy poca garantía y transparencia sobre la seguridad de la cadena de suministro. Ya hemos combatido los fallos accidentales en la cadena de suministro de software, pero este riesgo se ha elevado hasta incluir fallos de seguridad colocados deliberadamente con malicia para comprometer la seguridad del código abierto.
La mayoría de los desarrolladores no serán capaces de detener un ataque de esta naturaleza a menos que tengan un fuerte sentido de la conciencia de la seguridad, conocimientos sanos de seguridad y una pizca de paranoia. Es casi un caso de requerir una mentalidad de actor de amenazas. Sin embargo, una consideración principal debería centrarse siempre en los repositorios de código fuente controlados internamente (es decir, no de código abierto). Sólo deberían tener acceso a ellos las personas con conocimientos de seguridad pertinentes y verificados. Los profesionales de la seguridad de las aplicaciones podrían considerar una configuración como los controles de seguridad a nivel de rama, que sólo permiten a los desarrolladores con conocimientos de seguridad introducir cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero hace falta (o debería hacer falta) un pueblo para mantener un software seguro.
Para quienes no pertenecen al ámbito de la ingeniería de software, la noción de que una animada comunidad de voluntarios mantiene concienzudamente sistemas críticos en su propio tiempo es un concepto difícil de entender, pero esta es la naturaleza del desarrollo de código abierto, y sigue siendo un área de riesgo crítico para los profesionales de la seguridad que protegen la cadena de suministro.
El software de código abierto es una parte vital del ecosistema digital de prácticamente todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderamente heroicos en su búsqueda desinteresada del progreso tecnológico y la integridad, pero es una farsa mantenerlos aislados. En estos tiempos centrados en DevSecOps, la seguridad es una responsabilidad compartida, y cada desarrollador debe estar armado con el conocimiento y las herramientas adecuadas para navegar por los problemas de seguridad que probablemente se encuentren en su día a día. La concienciación sobre la seguridad y las habilidades prácticas no deberían ser negociables en el proceso de desarrollo de software, y depende de los líderes de seguridad influir en el cambio a nivel empresarial.
Construyahoy mismo una próspera cultura de la seguridad en su organización con un profundo Courses de Secure Code Warrior.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
