Ataque a la cadena de suministro de software libre: El incidente del backdoor xz
En marzo de 2024, se descubrió una puerta trasera en xz, un software de compresión ampliamente utilizado. Un mantenedor malicioso, usando el seudónimo de Jia Tan, insertó secretamente esta puerta trasera durante tres años. La puerta trasera permitía la ejecución remota de código en máquinas con ssh instalado. Su descubrimiento fue accidental, por un desarrollador de Postgres que investigaba problemas de rendimiento no relacionados. Este artículo detalla la mecánica de la puerta trasera y propone el uso de la reproducibilidad de la compilación para la detección. La puerta trasera implicó la modificación del proceso de compilación de xz para inyectar un archivo de objeto malicioso y aprovechar el mecanismo ifunc de glibc para conectar la función RSA_public_decrypt de ssh. El autor aboga por la construcción de software a partir de fuentes confiables y el uso de la reproducibilidad de la compilación para mejorar la seguridad de la cadena de suministro de software, como comparar las versiones de GitHub con los archivos tarball proporcionados por el mantenedor y verificar la consistencia binaria entre las fuentes de compilación.
Leer más