La puerta trasera de XZ Utils en Linux apunta a un problema de seguridad generalizado en la cadena de suministro, y para evitarlo se necesita algo más que el espíritu comunitario.
El descubrimiento de una astuta violación de la cadena de suministro de software ha vuelto a poner en alerta máxima al sector de la ciberseguridad. Esta vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se ha registrado con el número CVE-2024-3094 y se ha descubierto que, en última instancia, se debe a la inserción deliberada de una puerta trasera por parte de un administrador de sistemas voluntario de confianza. Si se aprovecha con éxito, en algunos casos podría permitir la ejecución remota de código (RCE), lo que podría causar graves daños en los procesos de compilación de software existentes.
Afortunadamente, otro administrador detectó la amenaza antes de que el código malicioso entrara en la versión estable de Linux, pero sigue siendo un problema para los usuarios que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones deben aplicar el parche con carácter de urgencia.Si este descubrimiento no se hubiera producido a tiempo, teniendo en cuenta el perfil de riesgo, probablemente habría pasado a la historia como uno de los ataques a la cadena de suministro más destructivos, superando incluso al de SolarWinds.
Aunque es bien sabido que el mantenimiento de sistemas importantes depende de voluntarios de la comunidad, este tema apenas se debate hasta que surge un problema de gran repercusión como este. Su incansable esfuerzo es esencial para el mantenimiento del software de código abierto, pero también pone de relieve la necesidad de centrarse en la tecnología y la concienciación sobre seguridad a nivel de desarrollador, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es XZ Utils Backdoor y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente. El objetivo era informar a los usuarios de Fedora Linux 4.0 y Fedora Rawhide de que la última versión de la herramienta de compresión y la biblioteca «XZ» contenía código malicioso que parecía haber sido creado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se ha introducido este código malicioso será objeto de un intenso estudio en el futuro. Sin embargo, se trata de una práctica de ingeniería social sofisticada y paciente llevada a cabo durante años por parte de un agente malicioso que utiliza un seudónimo. El atacante, conocido como «Zia Tan», pasó más de dos años realizando contribuciones legítimas al proyecto y la comunidad XZ Utils, ganándose la confianza de otros mantenedores, y finalmente obtuvo el estatus de «administrador de confianza» después de que varias cuentas falsas minaran la confianza del propietario del proyecto voluntario, Lasse Collin.
Este escenario inusual es un ejemplo representativo de cómo personas con un alto nivel técnico pueden convertirse en víctimas de tácticas utilizadas por personas con conocimientos limitados, lo que pone de manifiesto la necesidad de una formación precisa en materia de seguridad basada en roles. Esto se debió únicamente a la curiosidad y la rapidez mental de un ingeniero de software de Microsoft y administrador de PostgreSQL. Andrés Proudbackdescubrió el backdoory se revirtió la versión, lo que evitó lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
La puerta trasera en sí misma se considera oficialmente como la vulnerabilidad más grave posible. Registro NIST. Inicialmente se pensó que permitiría eludir la autenticación SSH, pero tras una investigación adicional se descubrió que permitía la ejecución remota de código no autenticado en sistemas Linux vulnerables, incluidos Fedora LowHide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber dedicado muchos esfuerzos a encontrar paquetes maliciosos. Los paquetes maliciosos, que se configuran automáticamente durante el proceso de compilación, interfieren en la autenticación de SSHD a través de systemd. En resumen, en determinadas circunstancias, esta interferencia permite a los atacantes violar la autenticación de SSHD y obtener acceso remoto no autorizado a todo el sistema.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Esto se debe especialmente a que, cuando se utilizan componentes de código abierto en el software, hay muy poca certeza y transparencia sobre la seguridad de la cadena de suministro. Ya hemos solucionado fallos fortuitos en la cadena de suministro de software, pero estos riesgos incluyen errores de seguridad plantados intencionadamente con la intención maliciosa de comprometer la seguridad del código abierto.
La mayoría de los desarrolladores son muy conscientes de la seguridad, tienen amplios conocimientos en la materia y, a menos que sean muy paranoicos, no pueden detener este tipo de ataques. Se requiere un nivel de pensamiento similar al de los actores maliciosos. Sin embargo, la consideración más importante siempre debe centrarse en los repositorios de código fuente. Se controla internamente (es decir, no es de código abierto). Solo las personas con conocimientos técnicos de seguridad verificados deben tener acceso a esta información. Los expertos en AppSec pueden considerar configuraciones como controles de seguridad a nivel de rama, que permiten que solo los desarrolladores con conocimientos de seguridad puedan realizar cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero mantener un software seguro requiere mucho esfuerzo.
Las personas ajenas al ámbito de la ingeniería de software pueden tener dificultades para comprender el concepto de que una activa comunidad de voluntarios dedique su tiempo a mantener sistemas importantes, pero esta es una característica del desarrollo de código abierto y sigue siendo un área de riesgo grave para los expertos en seguridad que protegen la cadena de suministro.
El software de código abierto ocupa una parte importante del ecosistema digital de casi todas las empresas. Los mantenedores de confianza (que en su mayoría actúan de buena fe) son verdaderos héroes que persiguen desinteresadamente el progreso tecnológico y la integridad, pero no tiene sentido seguir proporcionándolos de forma aislada.En esta era centrada en DevSecops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben contar con los conocimientos y las herramientas adecuadas para resolver los problemas de seguridad que puedan surgir durante su trabajo. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y es responsabilidad de los líderes de seguridad influir en el cambio a nivel empresarial.
Cree una cultura de seguridad próspera en su organización actual basándose en información detallada. Curso de formación De Secure Code Warrior.
Se ha detectado la vulnerabilidad CVE-2024-3094, una grave vulnerabilidad introducida por un agente malicioso a través de una puerta trasera en la biblioteca de compresión de datos XZ Utils utilizada en las principales distribuciones de Linux.Este problema, de alta gravedad, permite la ejecución remota de código y supone un grave riesgo para el proceso de compilación de software. El fallo afecta a las versiones iniciales de XZ Utils (5.6.0 y 5.6.1) y se insta a las organizaciones a implementar el parche con carácter urgente. Este incidente pone de relieve el importante papel que desempeñan los voluntarios de la comunidad en el mantenimiento del software de código abierto y subraya la necesidad de mejorar las prácticas de seguridad y el control de acceso dentro del ciclo de vida del desarrollo de software.
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El descubrimiento de una astuta violación de la cadena de suministro de software ha vuelto a poner en alerta máxima al sector de la ciberseguridad. Esta vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se ha registrado con el número CVE-2024-3094 y se ha descubierto que, en última instancia, se debe a la inserción deliberada de una puerta trasera por parte de un administrador de sistemas voluntario de confianza. Si se aprovecha con éxito, en algunos casos podría permitir la ejecución remota de código (RCE), lo que podría causar graves daños en los procesos de compilación de software existentes.
Afortunadamente, otro administrador detectó la amenaza antes de que el código malicioso entrara en la versión estable de Linux, pero sigue siendo un problema para los usuarios que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones deben aplicar el parche con carácter de urgencia.Si este descubrimiento no se hubiera producido a tiempo, teniendo en cuenta el perfil de riesgo, probablemente habría pasado a la historia como uno de los ataques a la cadena de suministro más destructivos, superando incluso al de SolarWinds.
Aunque es bien sabido que el mantenimiento de sistemas importantes depende de voluntarios de la comunidad, este tema apenas se debate hasta que surge un problema de gran repercusión como este. Su incansable esfuerzo es esencial para el mantenimiento del software de código abierto, pero también pone de relieve la necesidad de centrarse en la tecnología y la concienciación sobre seguridad a nivel de desarrollador, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es XZ Utils Backdoor y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente. El objetivo era informar a los usuarios de Fedora Linux 4.0 y Fedora Rawhide de que la última versión de la herramienta de compresión y la biblioteca «XZ» contenía código malicioso que parecía haber sido creado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se ha introducido este código malicioso será objeto de un intenso estudio en el futuro. Sin embargo, se trata de una práctica de ingeniería social sofisticada y paciente llevada a cabo durante años por parte de un agente malicioso que utiliza un seudónimo. El atacante, conocido como «Zia Tan», pasó más de dos años realizando contribuciones legítimas al proyecto y la comunidad XZ Utils, ganándose la confianza de otros mantenedores, y finalmente obtuvo el estatus de «administrador de confianza» después de que varias cuentas falsas minaran la confianza del propietario del proyecto voluntario, Lasse Collin.
Este escenario inusual es un ejemplo representativo de cómo personas con un alto nivel técnico pueden convertirse en víctimas de tácticas utilizadas por personas con conocimientos limitados, lo que pone de manifiesto la necesidad de una formación precisa en materia de seguridad basada en roles. Esto se debió únicamente a la curiosidad y la rapidez mental de un ingeniero de software de Microsoft y administrador de PostgreSQL. Andrés Proudbackdescubrió el backdoory se revirtió la versión, lo que evitó lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
La puerta trasera en sí misma se considera oficialmente como la vulnerabilidad más grave posible. Registro NIST. Inicialmente se pensó que permitiría eludir la autenticación SSH, pero tras una investigación adicional se descubrió que permitía la ejecución remota de código no autenticado en sistemas Linux vulnerables, incluidos Fedora LowHide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber dedicado muchos esfuerzos a encontrar paquetes maliciosos. Los paquetes maliciosos, que se configuran automáticamente durante el proceso de compilación, interfieren en la autenticación de SSHD a través de systemd. En resumen, en determinadas circunstancias, esta interferencia permite a los atacantes violar la autenticación de SSHD y obtener acceso remoto no autorizado a todo el sistema.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Esto se debe especialmente a que, cuando se utilizan componentes de código abierto en el software, hay muy poca certeza y transparencia sobre la seguridad de la cadena de suministro. Ya hemos solucionado fallos fortuitos en la cadena de suministro de software, pero estos riesgos incluyen errores de seguridad plantados intencionadamente con la intención maliciosa de comprometer la seguridad del código abierto.
La mayoría de los desarrolladores son muy conscientes de la seguridad, tienen amplios conocimientos en la materia y, a menos que sean muy paranoicos, no pueden detener este tipo de ataques. Se requiere un nivel de pensamiento similar al de los actores maliciosos. Sin embargo, la consideración más importante siempre debe centrarse en los repositorios de código fuente. Se controla internamente (es decir, no es de código abierto). Solo las personas con conocimientos técnicos de seguridad verificados deben tener acceso a esta información. Los expertos en AppSec pueden considerar configuraciones como controles de seguridad a nivel de rama, que permiten que solo los desarrolladores con conocimientos de seguridad puedan realizar cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero mantener un software seguro requiere mucho esfuerzo.
Las personas ajenas al ámbito de la ingeniería de software pueden tener dificultades para comprender el concepto de que una activa comunidad de voluntarios dedique su tiempo a mantener sistemas importantes, pero esta es una característica del desarrollo de código abierto y sigue siendo un área de riesgo grave para los expertos en seguridad que protegen la cadena de suministro.
El software de código abierto ocupa una parte importante del ecosistema digital de casi todas las empresas. Los mantenedores de confianza (que en su mayoría actúan de buena fe) son verdaderos héroes que persiguen desinteresadamente el progreso tecnológico y la integridad, pero no tiene sentido seguir proporcionándolos de forma aislada.En esta era centrada en DevSecops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben contar con los conocimientos y las herramientas adecuadas para resolver los problemas de seguridad que puedan surgir durante su trabajo. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y es responsabilidad de los líderes de seguridad influir en el cambio a nivel empresarial.
Cree una cultura de seguridad próspera en su organización actual basándose en información detallada. Curso de formación De Secure Code Warrior.
El descubrimiento de una astuta violación de la cadena de suministro de software ha vuelto a poner en alerta máxima al sector de la ciberseguridad. Esta vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se ha registrado con el número CVE-2024-3094 y se ha descubierto que, en última instancia, se debe a la inserción deliberada de una puerta trasera por parte de un administrador de sistemas voluntario de confianza. Si se aprovecha con éxito, en algunos casos podría permitir la ejecución remota de código (RCE), lo que podría causar graves daños en los procesos de compilación de software existentes.
Afortunadamente, otro administrador detectó la amenaza antes de que el código malicioso entrara en la versión estable de Linux, pero sigue siendo un problema para los usuarios que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones deben aplicar el parche con carácter de urgencia.Si este descubrimiento no se hubiera producido a tiempo, teniendo en cuenta el perfil de riesgo, probablemente habría pasado a la historia como uno de los ataques a la cadena de suministro más destructivos, superando incluso al de SolarWinds.
Aunque es bien sabido que el mantenimiento de sistemas importantes depende de voluntarios de la comunidad, este tema apenas se debate hasta que surge un problema de gran repercusión como este. Su incansable esfuerzo es esencial para el mantenimiento del software de código abierto, pero también pone de relieve la necesidad de centrarse en la tecnología y la concienciación sobre seguridad a nivel de desarrollador, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es XZ Utils Backdoor y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente. El objetivo era informar a los usuarios de Fedora Linux 4.0 y Fedora Rawhide de que la última versión de la herramienta de compresión y la biblioteca «XZ» contenía código malicioso que parecía haber sido creado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se ha introducido este código malicioso será objeto de un intenso estudio en el futuro. Sin embargo, se trata de una práctica de ingeniería social sofisticada y paciente llevada a cabo durante años por parte de un agente malicioso que utiliza un seudónimo. El atacante, conocido como «Zia Tan», pasó más de dos años realizando contribuciones legítimas al proyecto y la comunidad XZ Utils, ganándose la confianza de otros mantenedores, y finalmente obtuvo el estatus de «administrador de confianza» después de que varias cuentas falsas minaran la confianza del propietario del proyecto voluntario, Lasse Collin.
Este escenario inusual es un ejemplo representativo de cómo personas con un alto nivel técnico pueden convertirse en víctimas de tácticas utilizadas por personas con conocimientos limitados, lo que pone de manifiesto la necesidad de una formación precisa en materia de seguridad basada en roles. Esto se debió únicamente a la curiosidad y la rapidez mental de un ingeniero de software de Microsoft y administrador de PostgreSQL. Andrés Proudbackdescubrió el backdoory se revirtió la versión, lo que evitó lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
La puerta trasera en sí misma se considera oficialmente como la vulnerabilidad más grave posible. Registro NIST. Inicialmente se pensó que permitiría eludir la autenticación SSH, pero tras una investigación adicional se descubrió que permitía la ejecución remota de código no autenticado en sistemas Linux vulnerables, incluidos Fedora LowHide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber dedicado muchos esfuerzos a encontrar paquetes maliciosos. Los paquetes maliciosos, que se configuran automáticamente durante el proceso de compilación, interfieren en la autenticación de SSHD a través de systemd. En resumen, en determinadas circunstancias, esta interferencia permite a los atacantes violar la autenticación de SSHD y obtener acceso remoto no autorizado a todo el sistema.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Esto se debe especialmente a que, cuando se utilizan componentes de código abierto en el software, hay muy poca certeza y transparencia sobre la seguridad de la cadena de suministro. Ya hemos solucionado fallos fortuitos en la cadena de suministro de software, pero estos riesgos incluyen errores de seguridad plantados intencionadamente con la intención maliciosa de comprometer la seguridad del código abierto.
La mayoría de los desarrolladores son muy conscientes de la seguridad, tienen amplios conocimientos en la materia y, a menos que sean muy paranoicos, no pueden detener este tipo de ataques. Se requiere un nivel de pensamiento similar al de los actores maliciosos. Sin embargo, la consideración más importante siempre debe centrarse en los repositorios de código fuente. Se controla internamente (es decir, no es de código abierto). Solo las personas con conocimientos técnicos de seguridad verificados deben tener acceso a esta información. Los expertos en AppSec pueden considerar configuraciones como controles de seguridad a nivel de rama, que permiten que solo los desarrolladores con conocimientos de seguridad puedan realizar cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero mantener un software seguro requiere mucho esfuerzo.
Las personas ajenas al ámbito de la ingeniería de software pueden tener dificultades para comprender el concepto de que una activa comunidad de voluntarios dedique su tiempo a mantener sistemas importantes, pero esta es una característica del desarrollo de código abierto y sigue siendo un área de riesgo grave para los expertos en seguridad que protegen la cadena de suministro.
El software de código abierto ocupa una parte importante del ecosistema digital de casi todas las empresas. Los mantenedores de confianza (que en su mayoría actúan de buena fe) son verdaderos héroes que persiguen desinteresadamente el progreso tecnológico y la integridad, pero no tiene sentido seguir proporcionándolos de forma aislada.En esta era centrada en DevSecops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben contar con los conocimientos y las herramientas adecuadas para resolver los problemas de seguridad que puedan surgir durante su trabajo. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y es responsabilidad de los líderes de seguridad influir en el cambio a nivel empresarial.
Cree una cultura de seguridad próspera en su organización actual basándose en información detallada. Curso de formación De Secure Code Warrior.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El descubrimiento de una astuta violación de la cadena de suministro de software ha vuelto a poner en alerta máxima al sector de la ciberseguridad. Esta vulnerabilidad, que afecta a la biblioteca de compresión de datos XZ Utils incluida en las principales distribuciones de Linux, se ha registrado con el número CVE-2024-3094 y se ha descubierto que, en última instancia, se debe a la inserción deliberada de una puerta trasera por parte de un administrador de sistemas voluntario de confianza. Si se aprovecha con éxito, en algunos casos podría permitir la ejecución remota de código (RCE), lo que podría causar graves daños en los procesos de compilación de software existentes.
Afortunadamente, otro administrador detectó la amenaza antes de que el código malicioso entrara en la versión estable de Linux, pero sigue siendo un problema para los usuarios que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones deben aplicar el parche con carácter de urgencia.Si este descubrimiento no se hubiera producido a tiempo, teniendo en cuenta el perfil de riesgo, probablemente habría pasado a la historia como uno de los ataques a la cadena de suministro más destructivos, superando incluso al de SolarWinds.
Aunque es bien sabido que el mantenimiento de sistemas importantes depende de voluntarios de la comunidad, este tema apenas se debate hasta que surge un problema de gran repercusión como este. Su incansable esfuerzo es esencial para el mantenimiento del software de código abierto, pero también pone de relieve la necesidad de centrarse en la tecnología y la concienciación sobre seguridad a nivel de desarrollador, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es XZ Utils Backdoor y cómo se mitiga?
El 29 de marzo, Red Hat publicó una alerta de seguridad urgente. El objetivo era informar a los usuarios de Fedora Linux 4.0 y Fedora Rawhide de que la última versión de la herramienta de compresión y la biblioteca «XZ» contenía código malicioso que parecía haber sido creado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se ha introducido este código malicioso será objeto de un intenso estudio en el futuro. Sin embargo, se trata de una práctica de ingeniería social sofisticada y paciente llevada a cabo durante años por parte de un agente malicioso que utiliza un seudónimo. El atacante, conocido como «Zia Tan», pasó más de dos años realizando contribuciones legítimas al proyecto y la comunidad XZ Utils, ganándose la confianza de otros mantenedores, y finalmente obtuvo el estatus de «administrador de confianza» después de que varias cuentas falsas minaran la confianza del propietario del proyecto voluntario, Lasse Collin.
Este escenario inusual es un ejemplo representativo de cómo personas con un alto nivel técnico pueden convertirse en víctimas de tácticas utilizadas por personas con conocimientos limitados, lo que pone de manifiesto la necesidad de una formación precisa en materia de seguridad basada en roles. Esto se debió únicamente a la curiosidad y la rapidez mental de un ingeniero de software de Microsoft y administrador de PostgreSQL. Andrés Proudbackdescubrió el backdoory se revirtió la versión, lo que evitó lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
La puerta trasera en sí misma se considera oficialmente como la vulnerabilidad más grave posible. Registro NIST. Inicialmente se pensó que permitiría eludir la autenticación SSH, pero tras una investigación adicional se descubrió que permitía la ejecución remota de código no autenticado en sistemas Linux vulnerables, incluidos Fedora LowHide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber dedicado muchos esfuerzos a encontrar paquetes maliciosos. Los paquetes maliciosos, que se configuran automáticamente durante el proceso de compilación, interfieren en la autenticación de SSHD a través de systemd. En resumen, en determinadas circunstancias, esta interferencia permite a los atacantes violar la autenticación de SSHD y obtener acceso remoto no autorizado a todo el sistema.
마이크로소프트는 그 중에서도 포괄적인 지침 발표 시스템에서 익스플로잇 인스턴스를 검색하고 그 영향을 완화하는 것과 다음 기관에서 권장하는 즉각적인 조치에 대해 CISA 영향받는 개발자와 사용자는 XZ Utils 5.4.6 Stable과 같은 손상되지 않은 버전으로 XZ Utils를 다운그레이드해야 한다는 것입니다.
이러한 유형의 공격을 방지하는 것은 매우 어렵습니다. Esto se debe especialmente a que, cuando se utilizan componentes de código abierto en el software, hay muy poca certeza y transparencia sobre la seguridad de la cadena de suministro. Ya hemos solucionado fallos fortuitos en la cadena de suministro de software, pero estos riesgos incluyen errores de seguridad plantados intencionadamente con la intención maliciosa de comprometer la seguridad del código abierto.
La mayoría de los desarrolladores son muy conscientes de la seguridad, tienen amplios conocimientos en la materia y, a menos que sean muy paranoicos, no pueden detener este tipo de ataques. Se requiere un nivel de pensamiento similar al de los actores maliciosos. Sin embargo, la consideración más importante siempre debe centrarse en los repositorios de código fuente. Se controla internamente (es decir, no es de código abierto). Solo las personas con conocimientos técnicos de seguridad verificados deben tener acceso a esta información. Los expertos en AppSec pueden considerar configuraciones como controles de seguridad a nivel de rama, que permiten que solo los desarrolladores con conocimientos de seguridad puedan realizar cambios en la rama maestra final.
Los mantenedores voluntarios son héroes, pero mantener un software seguro requiere mucho esfuerzo.
Las personas ajenas al ámbito de la ingeniería de software pueden tener dificultades para comprender el concepto de que una activa comunidad de voluntarios dedique su tiempo a mantener sistemas importantes, pero esta es una característica del desarrollo de código abierto y sigue siendo un área de riesgo grave para los expertos en seguridad que protegen la cadena de suministro.
El software de código abierto ocupa una parte importante del ecosistema digital de casi todas las empresas. Los mantenedores de confianza (que en su mayoría actúan de buena fe) son verdaderos héroes que persiguen desinteresadamente el progreso tecnológico y la integridad, pero no tiene sentido seguir proporcionándolos de forma aislada.En esta era centrada en DevSecops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben contar con los conocimientos y las herramientas adecuadas para resolver los problemas de seguridad que puedan surgir durante su trabajo. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y es responsabilidad de los líderes de seguridad influir en el cambio a nivel empresarial.
Cree una cultura de seguridad próspera en su organización actual basándose en información detallada. Curso de formación De Secure Code Warrior.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
