Script de shell del ataque a XZ

Script de shell del ataque a xz

• Andres Freund reveló la existencia del ataque a xz el 29 de marzo de 2024.
• El ataque se divide en dos partes: un script de shell y un archivo objeto.
• El script de shell añade el archivo objeto a la compilación durante el proceso de make.
• El archivo objeto malicioso y el código shell se agregaron comprimidos y cifrados, disfrazados como "entradas de prueba".

Configuración

• xz-utils usa GNU autoconf para determinar cómo compilar según el sistema.
• El atacante añadió una biblioteca de soporte inesperada a la distribución tarball.
• Esta biblioteca de soporte contiene código malicioso.

Volviendo a ver la configuración

• La biblioteca de soporte añadida por el atacante busca ciertos patrones y configura ese archivo.
• Este script encuentra archivos maliciosos y los ejecuta para inyectar código shell.

Ejecución del script de shell

• El script de shell malicioso solo se ejecuta en los entornos necesarios tras pasar varias etapas de verificación.
• El script añade varias líneas al Makefile para insertar código malicioso en el proceso de compilación.

Opinión de GN⁺

• Este ataque expone vulnerabilidades de seguridad en el software de código abierto, y los desarrolladores deben reconocer la importancia de la revisión de código y las auditorías de seguridad.
• El método de ataque es un ejemplo de un ataque a la cadena de suministro de software, y se necesitan medidas para prevenir este tipo de ataques.
• Este artículo puede servir para alertar a los desarrolladores al mostrar cómo se pueden explotar la complejidad de los scripts de shell y los sistemas de compilación.
• Desde una mirada crítica, ataques como este pueden plantear dudas sobre la confiabilidad de los proyectos de código abierto.
• Con conocimientos del área, este artículo enfatiza la importancia de las revisiones de seguridad en los procesos de desarrollo y distribución de software.