El programa backdoor XZ Utils en Linux pone de manifiesto un problema más amplio de seguridad en la cadena de suministro. Para detenerlo, necesitamos algo más que espíritu comunitario.
Tras descubrir una vulnerabilidad maliciosa en la cadena de suministro de software, el sector de la ciberseguridad se encuentra de nuevo en estado de máxima alerta. La vulnerabilidad afecta a la biblioteca de compresión de datos XZ Utils, incluida en las principales distribuciones de Linux,registrada con el número CVE-2024-3094, y se atribuye a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema que antes era de confianza. Si se aprovecha con éxito, permite la ejecución remota de código (RCE) en algunos casos, lo que supone un grave problema y puede causar graves daños a los procesos de compilación de software establecidos.
Afortunadamente, otro mantenedor descubrió la amenaza antes de que el código malicioso llegara a las versiones estables de Linux,pero sigue siendo un problema para aquellos que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones también instan a aplicar el parche como prioridad de nivel urgente. Si este descubrimiento no se hubiera detectado a tiempo, el riesgo lo habría convertido en uno de los ataques a la cadena de suministro más destructivos de la historia, superando incluso a SolarWinds.
La dependencia de voluntarios de la comunidad para mantener sistemas críticos es un fenómeno ampliamente documentado, pero rara vez se debate hasta que surgen problemas de gran repercusión como este. Aunque su incansable trabajo es fundamental para el mantenimiento del software de código abierto, esto pone de relieve la necesidad de hacer hincapié en las habilidades y la concienciación en materia de seguridad a nivel de los desarrolladores, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es el programa backdoor XZ Utils y cómo se puede mitigar?
El 29 de marzo, Red Hat emitió una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que la última versión de «XZ» y las bibliotecas contenían código malicioso que parecía estar diseñado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se inyectó este código malicioso podría ser objeto de un estudio en profundidad en el futuro, pero equivale a una compleja ypaquete de ingeniería social. Esta persona dedicó innumerables horas a ganarse la confianza de otros mantenedores, realizó contribuciones legítimas al proyecto y la comunidad XZ Utils durante más de dos años y, tras socavar la confianza del propietario del proyecto voluntario Lasse Collin mediante varias cuentas falsas, finalmente obtuvo la condición de «mantenedor de confianza»:
Este caso inusual es un ejemplo típico de cómo una persona con un alto nivel de conocimientos técnicos puede seguir siendo víctima de estrategias que normalmente solo se utilizan contra personas menos inteligentes, lo que demuestra la necesidad de una formación precisa y basada en roles sobre la concienciación en materia de seguridad. Solo gracias a la curiosidad y la agilidad mental de los ingenieros de software de Microsoft y los mantenedores de PostgreSQL, Andrés Freund,se descubrió la puerta trasera y se revirtió la versión, lo que impidió lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
El programa backdoor en sí mismo ha sido oficialmente catalogado como la vulnerabilidad más grave en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permite la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluidos Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible por ocultar el paquete de malware, que, al activarse durante el proceso de compilación, impide la autenticación a través de systemd en SSHD. Como explica Red Hat con detalle, en determinadas circunstancias, esta interferencia podría permitir a los atacantes eludir la autenticación SSHD y obtener acceso remoto no autorizado a todo el sistema.
除其他外,微软 有发布了全面的指南在扫描 系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的 措施CISA是 受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es muy difícil prevenir este tipo de ataques, especialmente cuando se utilizan componentes de código abierto en el software, ya que la seguridad de la cadena de suministro ofrece muy pocas garantías y transparencia. Ya hemos solucionado vulnerabilidades inesperadas en la cadena de suministro de software, pero este riesgo ha aumentado hasta incluir vulnerabilidades de seguridad implantadas deliberadamente para comprometer la seguridad del código abierto.
A menos que se tenga una fuerte conciencia de la seguridad, buenos conocimientos en la materia y un poco de paranoia, la mayoría de los desarrolladores no podrán detener este tipo de ataques. Es casi un ejemplo de mentalidad de actor malicioso.Sin embargo, la consideración principal debe centrarse siempre en el repositorio de código fuente , es decir, el control interno (no el código abierto). Solo las personas con habilidades de seguridad relevantes y verificadas deben tener acceso a este contenido. Los profesionales de AppSec pueden considerar configuraciones como los controles de seguridad a nivel de rama, que solo permiten a los desarrolladores con habilidades de seguridad realizar cambios en la rama principal final.
Los voluntarios son héroes, pero (se necesita) un pueblo para mantener la seguridad del software.
Para quienes no pertenecen al ámbito de la ingeniería de software, la idea de una comunidad de voluntarios dinámica que se dedica a mantener sistemas críticos en su época es un concepto difícil de comprender, pero esa es la esencia del desarrollo de código abierto, y para los profesionales que protegen la seguridad de la cadena de suministro, sigue siendo un ámbito que plantea riesgos importantes.
El software de código abierto es un componente esencial del ecosistema digital de casi todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderos héroes en su búsqueda desinteresada del progreso tecnológico y la integridad,pero es absurdo que trabajen de forma aislada. En esta era centrada en DevSeCops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben adquirir los conocimientos y las herramientas adecuadas para hacer frente a los problemas de seguridad que puedan surgir en su trabajo diario. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y los responsables de la seguridad tienen la responsabilidad de influir en el cambio a nivel empresarial.
Establecer una cultura de seguridad próspera en las organizaciones actuales mediante un enfoque profundo. Curso De los guerreros del código de seguridad.
Se ha descubierto una vulnerabilidad grave denominada CVE-2024-3094 en la biblioteca de compresión de datos XZ Utils utilizada en las principales distribuciones de Linux, introducida por agentes maliciosos a través de un programa backdoor.Este problema de alta gravedad permite la ejecución remota de código, lo que supone un riesgo importante para el proceso de compilación de software. La vulnerabilidad afecta a las versiones antiguas de XZ Utils (5.6.0 y 5.6.1) en Fedora Rawhide, y se ha pedido a las organizaciones que apliquen el parche con carácter urgente. Este incidente pone de relieve el papel fundamental que desempeñan los voluntarios de la comunidad en el mantenimiento del software de código abierto, así como la necesidad de reforzar las medidas de seguridad y el control de acceso durante el ciclo de vida del desarrollo de software.
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Tras descubrir una vulnerabilidad maliciosa en la cadena de suministro de software, el sector de la ciberseguridad se encuentra de nuevo en estado de máxima alerta. La vulnerabilidad afecta a la biblioteca de compresión de datos XZ Utils, incluida en las principales distribuciones de Linux,registrada con el número CVE-2024-3094, y se atribuye a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema que antes era de confianza. Si se aprovecha con éxito, permite la ejecución remota de código (RCE) en algunos casos, lo que supone un grave problema y puede causar graves daños a los procesos de compilación de software establecidos.
Afortunadamente, otro mantenedor descubrió la amenaza antes de que el código malicioso llegara a las versiones estables de Linux,pero sigue siendo un problema para aquellos que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones también instan a aplicar el parche como prioridad de nivel urgente. Si este descubrimiento no se hubiera detectado a tiempo, el riesgo lo habría convertido en uno de los ataques a la cadena de suministro más destructivos de la historia, superando incluso a SolarWinds.
La dependencia de voluntarios de la comunidad para mantener sistemas críticos es un fenómeno ampliamente documentado, pero rara vez se debate hasta que surgen problemas de gran repercusión como este. Aunque su incansable trabajo es fundamental para el mantenimiento del software de código abierto, esto pone de relieve la necesidad de hacer hincapié en las habilidades y la concienciación en materia de seguridad a nivel de los desarrolladores, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es el programa backdoor XZ Utils y cómo se puede mitigar?
El 29 de marzo, Red Hat emitió una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que la última versión de «XZ» y las bibliotecas contenían código malicioso que parecía estar diseñado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se inyectó este código malicioso podría ser objeto de un estudio en profundidad en el futuro, pero equivale a una compleja ypaquete de ingeniería social. Esta persona dedicó innumerables horas a ganarse la confianza de otros mantenedores, realizó contribuciones legítimas al proyecto y la comunidad XZ Utils durante más de dos años y, tras socavar la confianza del propietario del proyecto voluntario Lasse Collin mediante varias cuentas falsas, finalmente obtuvo la condición de «mantenedor de confianza»:
Este caso inusual es un ejemplo típico de cómo una persona con un alto nivel de conocimientos técnicos puede seguir siendo víctima de estrategias que normalmente solo se utilizan contra personas menos inteligentes, lo que demuestra la necesidad de una formación precisa y basada en roles sobre la concienciación en materia de seguridad. Solo gracias a la curiosidad y la agilidad mental de los ingenieros de software de Microsoft y los mantenedores de PostgreSQL, Andrés Freund,se descubrió la puerta trasera y se revirtió la versión, lo que impidió lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
El programa backdoor en sí mismo ha sido oficialmente catalogado como la vulnerabilidad más grave en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permite la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluidos Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible por ocultar el paquete de malware, que, al activarse durante el proceso de compilación, impide la autenticación a través de systemd en SSHD. Como explica Red Hat con detalle, en determinadas circunstancias, esta interferencia podría permitir a los atacantes eludir la autenticación SSHD y obtener acceso remoto no autorizado a todo el sistema.
除其他外,微软 有发布了全面的指南在扫描 系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的 措施CISA是 受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es muy difícil prevenir este tipo de ataques, especialmente cuando se utilizan componentes de código abierto en el software, ya que la seguridad de la cadena de suministro ofrece muy pocas garantías y transparencia. Ya hemos solucionado vulnerabilidades inesperadas en la cadena de suministro de software, pero este riesgo ha aumentado hasta incluir vulnerabilidades de seguridad implantadas deliberadamente para comprometer la seguridad del código abierto.
A menos que se tenga una fuerte conciencia de la seguridad, buenos conocimientos en la materia y un poco de paranoia, la mayoría de los desarrolladores no podrán detener este tipo de ataques. Es casi un ejemplo de mentalidad de actor malicioso.Sin embargo, la consideración principal debe centrarse siempre en el repositorio de código fuente , es decir, el control interno (no el código abierto). Solo las personas con habilidades de seguridad relevantes y verificadas deben tener acceso a este contenido. Los profesionales de AppSec pueden considerar configuraciones como los controles de seguridad a nivel de rama, que solo permiten a los desarrolladores con habilidades de seguridad realizar cambios en la rama principal final.
Los voluntarios son héroes, pero (se necesita) un pueblo para mantener la seguridad del software.
Para quienes no pertenecen al ámbito de la ingeniería de software, la idea de una comunidad de voluntarios dinámica que se dedica a mantener sistemas críticos en su época es un concepto difícil de comprender, pero esa es la esencia del desarrollo de código abierto, y para los profesionales que protegen la seguridad de la cadena de suministro, sigue siendo un ámbito que plantea riesgos importantes.
El software de código abierto es un componente esencial del ecosistema digital de casi todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderos héroes en su búsqueda desinteresada del progreso tecnológico y la integridad,pero es absurdo que trabajen de forma aislada. En esta era centrada en DevSeCops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben adquirir los conocimientos y las herramientas adecuadas para hacer frente a los problemas de seguridad que puedan surgir en su trabajo diario. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y los responsables de la seguridad tienen la responsabilidad de influir en el cambio a nivel empresarial.
Establecer una cultura de seguridad próspera en las organizaciones actuales mediante un enfoque profundo. Curso De los guerreros del código de seguridad.
Tras descubrir una vulnerabilidad maliciosa en la cadena de suministro de software, el sector de la ciberseguridad se encuentra de nuevo en estado de máxima alerta. La vulnerabilidad afecta a la biblioteca de compresión de datos XZ Utils, incluida en las principales distribuciones de Linux,registrada con el número CVE-2024-3094, y se atribuye a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema que antes era de confianza. Si se aprovecha con éxito, permite la ejecución remota de código (RCE) en algunos casos, lo que supone un grave problema y puede causar graves daños a los procesos de compilación de software establecidos.
Afortunadamente, otro mantenedor descubrió la amenaza antes de que el código malicioso llegara a las versiones estables de Linux,pero sigue siendo un problema para aquellos que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones también instan a aplicar el parche como prioridad de nivel urgente. Si este descubrimiento no se hubiera detectado a tiempo, el riesgo lo habría convertido en uno de los ataques a la cadena de suministro más destructivos de la historia, superando incluso a SolarWinds.
La dependencia de voluntarios de la comunidad para mantener sistemas críticos es un fenómeno ampliamente documentado, pero rara vez se debate hasta que surgen problemas de gran repercusión como este. Aunque su incansable trabajo es fundamental para el mantenimiento del software de código abierto, esto pone de relieve la necesidad de hacer hincapié en las habilidades y la concienciación en materia de seguridad a nivel de los desarrolladores, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es el programa backdoor XZ Utils y cómo se puede mitigar?
El 29 de marzo, Red Hat emitió una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que la última versión de «XZ» y las bibliotecas contenían código malicioso que parecía estar diseñado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se inyectó este código malicioso podría ser objeto de un estudio en profundidad en el futuro, pero equivale a una compleja ypaquete de ingeniería social. Esta persona dedicó innumerables horas a ganarse la confianza de otros mantenedores, realizó contribuciones legítimas al proyecto y la comunidad XZ Utils durante más de dos años y, tras socavar la confianza del propietario del proyecto voluntario Lasse Collin mediante varias cuentas falsas, finalmente obtuvo la condición de «mantenedor de confianza»:
Este caso inusual es un ejemplo típico de cómo una persona con un alto nivel de conocimientos técnicos puede seguir siendo víctima de estrategias que normalmente solo se utilizan contra personas menos inteligentes, lo que demuestra la necesidad de una formación precisa y basada en roles sobre la concienciación en materia de seguridad. Solo gracias a la curiosidad y la agilidad mental de los ingenieros de software de Microsoft y los mantenedores de PostgreSQL, Andrés Freund,se descubrió la puerta trasera y se revirtió la versión, lo que impidió lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
El programa backdoor en sí mismo ha sido oficialmente catalogado como la vulnerabilidad más grave en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permite la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluidos Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible por ocultar el paquete de malware, que, al activarse durante el proceso de compilación, impide la autenticación a través de systemd en SSHD. Como explica Red Hat con detalle, en determinadas circunstancias, esta interferencia podría permitir a los atacantes eludir la autenticación SSHD y obtener acceso remoto no autorizado a todo el sistema.
除其他外,微软 有发布了全面的指南在扫描 系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的 措施CISA是 受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es muy difícil prevenir este tipo de ataques, especialmente cuando se utilizan componentes de código abierto en el software, ya que la seguridad de la cadena de suministro ofrece muy pocas garantías y transparencia. Ya hemos solucionado vulnerabilidades inesperadas en la cadena de suministro de software, pero este riesgo ha aumentado hasta incluir vulnerabilidades de seguridad implantadas deliberadamente para comprometer la seguridad del código abierto.
A menos que se tenga una fuerte conciencia de la seguridad, buenos conocimientos en la materia y un poco de paranoia, la mayoría de los desarrolladores no podrán detener este tipo de ataques. Es casi un ejemplo de mentalidad de actor malicioso.Sin embargo, la consideración principal debe centrarse siempre en el repositorio de código fuente , es decir, el control interno (no el código abierto). Solo las personas con habilidades de seguridad relevantes y verificadas deben tener acceso a este contenido. Los profesionales de AppSec pueden considerar configuraciones como los controles de seguridad a nivel de rama, que solo permiten a los desarrolladores con habilidades de seguridad realizar cambios en la rama principal final.
Los voluntarios son héroes, pero (se necesita) un pueblo para mantener la seguridad del software.
Para quienes no pertenecen al ámbito de la ingeniería de software, la idea de una comunidad de voluntarios dinámica que se dedica a mantener sistemas críticos en su época es un concepto difícil de comprender, pero esa es la esencia del desarrollo de código abierto, y para los profesionales que protegen la seguridad de la cadena de suministro, sigue siendo un ámbito que plantea riesgos importantes.
El software de código abierto es un componente esencial del ecosistema digital de casi todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderos héroes en su búsqueda desinteresada del progreso tecnológico y la integridad,pero es absurdo que trabajen de forma aislada. En esta era centrada en DevSeCops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben adquirir los conocimientos y las herramientas adecuadas para hacer frente a los problemas de seguridad que puedan surgir en su trabajo diario. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y los responsables de la seguridad tienen la responsabilidad de influir en el cambio a nivel empresarial.
Establecer una cultura de seguridad próspera en las organizaciones actuales mediante un enfoque profundo. Curso De los guerreros del código de seguridad.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Tras descubrir una vulnerabilidad maliciosa en la cadena de suministro de software, el sector de la ciberseguridad se encuentra de nuevo en estado de máxima alerta. La vulnerabilidad afecta a la biblioteca de compresión de datos XZ Utils, incluida en las principales distribuciones de Linux,registrada con el número CVE-2024-3094, y se atribuye a una puerta trasera insertada deliberadamente por un mantenedor voluntario del sistema que antes era de confianza. Si se aprovecha con éxito, permite la ejecución remota de código (RCE) en algunos casos, lo que supone un grave problema y puede causar graves daños a los procesos de compilación de software establecidos.
Afortunadamente, otro mantenedor descubrió la amenaza antes de que el código malicioso llegara a las versiones estables de Linux,pero sigue siendo un problema para aquellos que han comenzado a ejecutar las versiones 5.6.0 y 5.6.1 de XZ Utils como parte de Fedora Rawhide, y las organizaciones también instan a aplicar el parche como prioridad de nivel urgente. Si este descubrimiento no se hubiera detectado a tiempo, el riesgo lo habría convertido en uno de los ataques a la cadena de suministro más destructivos de la historia, superando incluso a SolarWinds.
La dependencia de voluntarios de la comunidad para mantener sistemas críticos es un fenómeno ampliamente documentado, pero rara vez se debate hasta que surgen problemas de gran repercusión como este. Aunque su incansable trabajo es fundamental para el mantenimiento del software de código abierto, esto pone de relieve la necesidad de hacer hincapié en las habilidades y la concienciación en materia de seguridad a nivel de los desarrolladores, por no hablar de reforzar el control de acceso a los repositorios de software.
¿Qué es el programa backdoor XZ Utils y cómo se puede mitigar?
El 29 de marzo, Red Hat emitió una alerta de seguridad urgente para informar a los usuarios de Fedora Linux 40 y Fedora Rawhide de que la última versión de «XZ» y las bibliotecas contenían código malicioso que parecía estar diseñado específicamente para facilitar el acceso no autorizado de terceros. La forma en que se inyectó este código malicioso podría ser objeto de un estudio en profundidad en el futuro, pero equivale a una compleja ypaquete de ingeniería social. Esta persona dedicó innumerables horas a ganarse la confianza de otros mantenedores, realizó contribuciones legítimas al proyecto y la comunidad XZ Utils durante más de dos años y, tras socavar la confianza del propietario del proyecto voluntario Lasse Collin mediante varias cuentas falsas, finalmente obtuvo la condición de «mantenedor de confianza»:
Este caso inusual es un ejemplo típico de cómo una persona con un alto nivel de conocimientos técnicos puede seguir siendo víctima de estrategias que normalmente solo se utilizan contra personas menos inteligentes, lo que demuestra la necesidad de una formación precisa y basada en roles sobre la concienciación en materia de seguridad. Solo gracias a la curiosidad y la agilidad mental de los ingenieros de software de Microsoft y los mantenedores de PostgreSQL, Andrés Freund,se descubrió la puerta trasera y se revirtió la versión, lo que impidió lo que podría haber sido el ataque a la cadena de suministro más destructivo de la historia reciente.
El programa backdoor en sí mismo ha sido oficialmente catalogado como la vulnerabilidad más grave en el registro del NIST. Inicialmente se pensó que permitía eludir la autenticación SSH, pero investigaciones posteriores revelaron que permite la ejecución remota de código sin autenticación en sistemas Linux vulnerables, incluidos Fedora Rawhide, Fedora 41, Kali Linux, openSUSE MicroOS, openSUSE Tumbleweed y algunas versiones de Debian.
Jia Tan parece haber hecho todo lo posible por ocultar el paquete de malware, que, al activarse durante el proceso de compilación, impide la autenticación a través de systemd en SSHD. Como explica Red Hat con detalle, en determinadas circunstancias, esta interferencia podría permitir a los atacantes eludir la autenticación SSHD y obtener acceso remoto no autorizado a todo el sistema.
除其他外,微软 有发布了全面的指南在扫描 系统上查看漏洞利用实例并减轻其影响,以及建议立即采取的 措施CISA是 受影响的开发者和用户应该将XZ Utils降级到不打折扣的版本,例如XZ Utils 5.4.6稳定版。
Es muy difícil prevenir este tipo de ataques, especialmente cuando se utilizan componentes de código abierto en el software, ya que la seguridad de la cadena de suministro ofrece muy pocas garantías y transparencia. Ya hemos solucionado vulnerabilidades inesperadas en la cadena de suministro de software, pero este riesgo ha aumentado hasta incluir vulnerabilidades de seguridad implantadas deliberadamente para comprometer la seguridad del código abierto.
A menos que se tenga una fuerte conciencia de la seguridad, buenos conocimientos en la materia y un poco de paranoia, la mayoría de los desarrolladores no podrán detener este tipo de ataques. Es casi un ejemplo de mentalidad de actor malicioso.Sin embargo, la consideración principal debe centrarse siempre en el repositorio de código fuente , es decir, el control interno (no el código abierto). Solo las personas con habilidades de seguridad relevantes y verificadas deben tener acceso a este contenido. Los profesionales de AppSec pueden considerar configuraciones como los controles de seguridad a nivel de rama, que solo permiten a los desarrolladores con habilidades de seguridad realizar cambios en la rama principal final.
Los voluntarios son héroes, pero (se necesita) un pueblo para mantener la seguridad del software.
Para quienes no pertenecen al ámbito de la ingeniería de software, la idea de una comunidad de voluntarios dinámica que se dedica a mantener sistemas críticos en su época es un concepto difícil de comprender, pero esa es la esencia del desarrollo de código abierto, y para los profesionales que protegen la seguridad de la cadena de suministro, sigue siendo un ámbito que plantea riesgos importantes.
El software de código abierto es un componente esencial del ecosistema digital de casi todas las empresas, y los mantenedores de confianza (la mayoría de los cuales actúan de buena fe) son verdaderos héroes en su búsqueda desinteresada del progreso tecnológico y la integridad,pero es absurdo que trabajen de forma aislada. En esta era centrada en DevSeCops, la seguridad es una responsabilidad compartida, y todos los desarrolladores deben adquirir los conocimientos y las herramientas adecuadas para hacer frente a los problemas de seguridad que puedan surgir en su trabajo diario. La concienciación sobre la seguridad y las habilidades prácticas deben ser innegociables en el proceso de desarrollo de software, y los responsables de la seguridad tienen la responsabilidad de influir en el cambio a nivel empresarial.
Establecer una cultura de seguridad próspera en las organizaciones actuales mediante un enfoque profundo. Curso De los guerreros del código de seguridad.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
