Un nuevo estudio descubrió imágenes de Docker de Docker Hub e imágenes que contienen la infame Backdoor de XZ.
Aún más problemático es el hecho de que otras imágenes se construyen en la parte superior de estas imágenes básicas infectadas, transmitiendo efectivamente infecciones de manera transitiva, dice Binarly Research en un informe compartido con Hacker News.
La compañía de seguridad de firmware dijo que había descubierto un total de 35 imágenes para enviar junto con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software.
El evento XZ Utils Supply Chain (CVE-2024-3094, puntaje CVSS: 10.0) se reveló a fines de marzo de 2024 cuando Andrés Freund alarmó la puerta trasera incrustada en las versiones XZ Utils 5.6.0 y 5.6.1.
Un análisis posterior del código malicioso y los compromisos más amplios han llevado a algunos descubrimientos sorprendentes. En primer lugar, la puerta trasera puede conducir a un acceso remoto no autorizado, lo que permite la ejecución de cualquier carga útil a través de SSH.
Específicamente, las puertas traseras ubicadas en la biblioteca Liblzma. Y utilizadas por los servidores OpenSSH están diseñados para activarse cuando un cliente interactúa con un servidor SSH infectado.
Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo IFUNC de GLIBC, el código malicioso permitió a un atacante que posee una clave privada particular para evitar la autenticación y ejecutar el comando raíz de forma remota «, explicó binarly.
El segundo descubrimiento fue que el cambio fue impulsado por un desarrollador llamado «Jia Tan» (Jiat75). Ha contribuido a proyectos de código abierto durante casi dos años, generando confianza hasta que se le da la responsabilidad del mantenedor, lo que demuestra la naturaleza meticulosa del ataque.
«Fue claramente una operación muy complicada patrocinada por el estado, con un refinamiento impresionante y planes de varios años», dijo Binary en ese momento. «Este complejo marco de portada integral de diseño profesional no se ha desarrollado para operaciones de un solo disparo».
La última investigación de la compañía muestra que el impacto del incidente continúa enviando réplicas a través del ecosistema de fuerza abierta, incluso después de todos estos meses.
Esto incluye descubrir 12 imágenes de Debian Docker, incluida una de las puestas de XZ Utils y otro conjunto de imágenes secundarias, incluidas imágenes de Debian comprometidas.
Binarly dijo que informó la imagen base al mantenedor Debian. Dijo que tomó una decisión deliberada para hacer que estos artefactos estén disponibles como curiosidad histórica.
Sin embargo, la compañía señaló que dejar las imágenes de Docker disponibles públicamente, incluidas las puertas traseras que pueden alcanzar las redes potenciales, es un grave riesgo de seguridad a pesar de los criterios necesarios para una explotación exitosa: la necesidad de acceder a las redes a dispositivos infectados al ejecutar servicios SSH.
«El incidente de la puerta trasera XZ-Utils muestra que incluso el código malicioso de corta duración puede propagarse al ecosistema Docker sin ser notado en las imágenes oficiales de contenedores durante mucho tiempo», agregó.
«El retraso destaca cómo estos artefactos persisten y se propagan en silencio a través de la tubería CI y el ecosistema de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo de nivel binario más allá del simple seguimiento de las versión».
Source link
