Una nueva investigación ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año luego del descubrimiento del incidente.
Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes colchoneta infectadas, propagando efectivamente la infección aún más de forma transitiva, dijo Binarly Research en un crónica compartido con Hacker News.
La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cautiverio de suministro de software.
El evento de la cautiverio de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la rebato en una puerta trasera incrustada adentro de las versiones de XZ Utils 5.6.0 y 5.6.1.
Un descomposición posterior del código zorro y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un camino remoto no acreditado y habilitar la ejecución de cargas bártulos arbitrarias a través de SSH.
Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal forma que se activó cuando un cliente interactúa con el servidor SSH infectado.
Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo IFUNC del GLIBC, el código zorro permitió que un atacante poseía una secreto privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota “, explicó binarly.
El segundo hallazgo fue que los cambios fueron impulsados por un desarrollador llamado “Jia Tan” (Jiat75), quien pasó casi dos abriles contribuyendo al plan de código libre para producir confianza hasta que se les otorgó responsabilidades del mantenedor, lo que indica la naturaleza meticulosa del ataque.
“Esta es claramente una operación muy compleja patrocinada por el estado con una sofisticación impresionante y una planificación de varios abriles”, señaló Binario en ese momento. “Un ámbito de implantación integral tan difícil y diseñado profesionalmente no se desarrolla para una operación de un solo disparo”.
La última investigación de la compañía muestra que el impacto del incidente continúa enviando réplicas a través del ecosistema de código libre incluso luego de todos estos meses.
Esto incluye el descubrimiento de 12 imágenes de Docker de Debian que contienen una de la puerta trasera XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas.
Binarly dijo que informó las imágenes colchoneta a los mantenedores de Debian, quienes dijeron que “han tomado una osadía intencional para dejar estos artefactos disponibles como una curiosidad histórica, especialmente dada lo subsiguiente extremadamente improbable (en los casos de uso de imágenes de contenedores/contenedores) requeridos para la explotación”.
Sin confiscación, la compañía señaló que dejar imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red para la red conlleva un peligro de seguridad significativo, a pesar de los criterios requeridos para una explotación exitosa: la exigencia de camino a la red al dispositivo infectado con el servicio SSH en ejecución.
“El incidente de la puerta trasera XZ-Utils demuestra que incluso el código zorro de corta duración puede acaecer desapercibido en las imágenes oficiales de contenedores durante mucho tiempo, y eso puede propagarse en el ecosistema Docker”, agregó.
“El retraso subraya cómo estos artefactos pueden persistir y propagarse silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la exigencia crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de las interpretación”.
