La empresa de software Red Hat y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron en días pasados una advertencia sobre la posible incorporación de código malicioso en una herramienta de Linux ampliamente utilizada.
El equipo de seguridad de Red Hat descubrió la vulnerabilidad la semana pasada y confirmó que las últimas dos versiones de XZ Utils, un conjunto de bibliotecas y herramientas de software de compresión de datos, contenían código malicioso diseñado para acceder de forma no autorizada a los sistemas.
El código implantado se encuentra en las versiones 5.6.0 y 5.6.1 de las bibliotecas XZ Utils, según Red Hat, propiedad de IBM.
Red Hat señaló que los paquetes afectados solo están presentes en ciertas distribuciones, como Fedora 41 y Fedora Rawhide, y aclaró que ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada.
En su aviso, CISA señaló que XZ Utils «puede estar presente en distribuciones de Linux» y que «el código malicioso puede permitir el acceso no autorizado a los sistemas afectados».
«CISA recomienda a los desarrolladores y usuarios degradar XZ Utils a una versión no comprometida, como XZ Utils 5.4.6 Stable, buscar cualquier actividad maliciosa e informar cualquier hallazgo positivo a CISA», dijo la agencia.
La vulnerabilidad que se insertó a través del aparente hackeo de la cadena de suministro se rastrea en CVE-2024-3094.
La falla fue descubierta por el ingeniero de Microsoft, Andrés Freund.
Otras comunidades de distribución de Linux han estado alertando rápidamente a los usuarios sobre la vulnerabilidad y ayudando a evitar lo que podría haber sido un problema mucho más generalizado.
En particular, el código malicioso habría sido introducido por un usuario que ha contribuido durante mucho tiempo a las compilaciones de XZ. Debido a que la herramienta es de código abierto, la capacidad depende de las contribuciones de los miembros de la comunidad que la mantienen actualizada mediante parches y actualizaciones periódicas.
Algunos medios sostienen que el actor de amenaza podría haber estado afiliado a un colectivo auspicio por un Estado-Nación, por lo que se estima que el FBI o la NSA podrían investigar el incidente.