Puerta trasera de XZ Utils (CVE-2024-3094).

Ataque de cadena de suministro de 2024, casi exitoso, en el que un contribuyente de confianza implantó una puerta trasera SSH ofuscada en la biblioteca xz/liblzma distribuida por la mayoría de distribuciones Linux. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

Ataque de cadena de suministro de 2024, casi exitoso, en el que un contribuyente de confianza implantó una puerta trasera SSH ofuscada en la biblioteca xz/liblzma distribuida por la mayoría de distribuciones Linux.

La puerta trasera de XZ Utils (CVE-2024-3094) es un compromiso de la cadena de suministro de software divulgado el 29 de marzo de 2024 por el ingeniero de Microsoft Andres Freund, tras detectar uso anómalo de CPU y errores de Valgrind en sshd en un sistema Debian sid. La investigación reveló que el mantenedor upstream de xz/liblzma 'Jia Tan' —una identidad que pasó casi dos años ganándose la confianza del proyecto— había introducido scripts de compilación ofuscados que, al empaquetarse en distribuciones basadas en rpm o deb con la dependencia libsystemd → liblzma de systemd, sustituían una función del servidor OpenSSH mediante resolutores IFUNC y permitían ejecución remota de código a quien poseyera una clave privada Ed448 concreta. El código malicioso se incluyó en xz-utils 5.6.0 y 5.6.1 y alcanzó Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali y Arch, pero se detectó antes de la mayoría de versiones estables. El incidente cambió la percepción del riesgo asociado a dependencias de un único mantenedor, al sigilo basado en IFUNC y a los límites de la confianza en contribuyentes veteranos.

Las defensas contra Puerta trasera de XZ Utils (CVE-2024-3094) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: CVE-2024-3094, Puerta trasera Jia Tan, Puerta trasera de liblzma.