Puerta trasera de XZ Utils (CVE-2024-3094)
¿Qué es Puerta trasera de XZ Utils (CVE-2024-3094)?
Puerta trasera de XZ Utils (CVE-2024-3094)Ataque de cadena de suministro de 2024, casi exitoso, en el que un contribuyente de confianza implantó una puerta trasera SSH ofuscada en la biblioteca xz/liblzma distribuida por la mayoría de distribuciones Linux.
La puerta trasera de XZ Utils (CVE-2024-3094) es un compromiso de la cadena de suministro de software divulgado el 29 de marzo de 2024 por el ingeniero de Microsoft Andres Freund, tras detectar uso anómalo de CPU y errores de Valgrind en sshd en un sistema Debian sid. La investigación reveló que el mantenedor upstream de xz/liblzma 'Jia Tan' —una identidad que pasó casi dos años ganándose la confianza del proyecto— había introducido scripts de compilación ofuscados que, al empaquetarse en distribuciones basadas en rpm o deb con la dependencia libsystemd → liblzma de systemd, sustituían una función del servidor OpenSSH mediante resolutores IFUNC y permitían ejecución remota de código a quien poseyera una clave privada Ed448 concreta. El código malicioso se incluyó en xz-utils 5.6.0 y 5.6.1 y alcanzó Debian testing/unstable, Fedora 40/41 (Rawhide), openSUSE Tumbleweed, Kali y Arch, pero se detectó antes de la mayoría de versiones estables. El incidente cambió la percepción del riesgo asociado a dependencias de un único mantenedor, al sigilo basado en IFUNC y a los límites de la confianza en contribuyentes veteranos.
● Ejemplos
- 01
Andres Freund descubrió la puerta trasera tras observar que sshd tardaba unos 500 ms más de lo esperado en logins fallidos en Debian unstable.
- 02
Las distribuciones revirtieron xz-utils a la rama 5.4.x y rotaron las claves SSH de host en cualquier sistema que hubiera ejecutado brevemente 5.6.0 o 5.6.1.
● Preguntas frecuentes
¿Qué es Puerta trasera de XZ Utils (CVE-2024-3094)?
Ataque de cadena de suministro de 2024, casi exitoso, en el que un contribuyente de confianza implantó una puerta trasera SSH ofuscada en la biblioteca xz/liblzma distribuida por la mayoría de distribuciones Linux. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Puerta trasera de XZ Utils (CVE-2024-3094)?
Ataque de cadena de suministro de 2024, casi exitoso, en el que un contribuyente de confianza implantó una puerta trasera SSH ofuscada en la biblioteca xz/liblzma distribuida por la mayoría de distribuciones Linux.
¿Cómo defenderse de Puerta trasera de XZ Utils (CVE-2024-3094)?
Las defensas contra Puerta trasera de XZ Utils (CVE-2024-3094) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Puerta trasera de XZ Utils (CVE-2024-3094)?
Nombres alternativos comunes: CVE-2024-3094, Puerta trasera Jia Tan, Puerta trasera de liblzma.