Una nueva investigación ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año a posteriori del descubrimiento del incidente.
Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes pulvínulo infectadas, propagando efectivamente la infección aún más de guisa transitiva, dijo Binarly Research en un referencia compartido con Hacker News.
La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la esclavitud de suministro de software.
El evento de la esclavitud de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la inquietud en una puerta trasera incrustada en el interior de las versiones de XZ Utils 5.6.0 y 5.6.1.
Un observación posterior del código desconfiado y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un comunicación remoto no facultado y habilitar la ejecución de cargas efectos arbitrarias a través de SSH.
Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal guisa que se activó cuando un cliente interactúa con el servidor SSH infectado.
Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo IFUNC del GLIBC, el código desconfiado permitió que un atacante poseía una secreto privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota «, explicó binarly.
El segundo hallazgo fue que los cambios fueron impulsados por un desarrollador llamado «Jia Tan» (Jiat75), quien pasó casi dos abriles contribuyendo al tesina de código destapado para originar confianza hasta que se les otorgó responsabilidades del mantenedor, lo que indica la naturaleza meticulosa del ataque.
«Esta es claramente una operación muy compleja patrocinada por el estado con una sofisticación impresionante y una planificación de varios abriles», señaló Binario en ese momento. «Un entorno de implantación integral tan enredado y diseñado profesionalmente no se desarrolla para una operación de un solo disparo».
La última investigación de la compañía muestra que el impacto del incidente continúa enviando réplicas a través del ecosistema de código destapado incluso a posteriori de todos estos meses.
Esto incluye el descubrimiento de 12 imágenes de Docker de Debian que contienen una de la puerta trasera XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas.
Binarly dijo que informó las imágenes pulvínulo a los mantenedores de Debian, quienes dijeron que «han tomado una valentía intencional para dejar estos artefactos disponibles como una curiosidad histórica, especialmente dada lo futuro extremadamente improbable (en los casos de uso de imágenes de contenedores/contenedores) requeridos para la explotación».
Sin incautación, la compañía señaló que dejar imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red para la red conlleva un peligro de seguridad significativo, a pesar de los criterios requeridos para una explotación exitosa: la privación de comunicación a la red al dispositivo infectado con el servicio SSH en ejecución.
«El incidente de la puerta trasera XZ-Utils demuestra que incluso el código desconfiado de corta duración puede suceder desapercibido en las imágenes oficiales de contenedores durante mucho tiempo, y eso puede propagarse en el ecosistema Docker», agregó.
«El retraso subraya cómo estos artefactos pueden persistir y propagarse silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la privación crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de las lectura».
