La puerta trasera XZ-Utils, descubierta en marzo de 2024, todavía está presente en al menos 35 imágenes de Linux alojadas en Docker Hub, lo que podría poner en riesgo a usuarios, organizaciones y sus datos.
Docker Hub es el registro público oficial de imágenes de contenedores operado por Docker, que permite a desarrolladores y empresas subir, descargar y compartir imágenes preconstruidas con la comunidad.
El riesgo en la cadena de suministro
Muchas tuberías CI/CD, desarrolladores y sistemas en producción obtienen imágenes directamente de Docker Hub como capas base para sus propios contenedores.
Si una imagen base está comprometida, la nueva construcción hereda el fallo o el código malicioso.
Investigadores de Binarly han detectado numerosas imágenes de Docker afectadas por la puerta trasera XZ-Utils.
“Al principio, esto puede no parecer alarmante: si los paquetes de la distribución estaban comprometidos, entonces cualquier imagen Docker basada en ellos también lo estaría”, indica Binarly.
“Lo preocupante es que algunas de estas imágenes comprometidas siguen disponibles públicamente en Docker Hub, y otras han sido construidas sobre estas bases, quedando infectadas de forma transitiva.”
Respuesta de Debian
Binarly reportó el hallazgo a Debian, uno de los mantenedores que aún ofrecía imágenes con la puerta trasera, pero la organización decidió no retirarlas alegando bajo riesgo y la importancia de la continuidad en el archivo histórico.
La vulnerabilidad, identificada como CVE-2024-3094, era un código malicioso oculto en la biblioteca liblzma.so de la herramienta de compresión xz-utils (versiones 5.6.0 y 5.6.1).
Cómo funcionaba la puerta trasera
- Enganchaba la función RSA_public_decrypt de OpenSSH usando el mecanismo IFUNC de glibc.
- Permitía que un atacante, con una clave privada especial, se conectara vía SSH y omitiera la autenticación.
- Otorgaba capacidad para ejecutar comandos como root de forma remota.
Fue introducida por un contribuidor de larga data del proyecto, "Jia Tan", y se distribuyó en paquetes oficiales de Debian, Fedora, OpenSUSE y Red Hat, convirtiéndose en uno de los compromisos más graves de la cadena de suministro de software en 2024.
Impacto y detección
Aunque la vulnerabilidad se detectó rápidamente, reduciendo las posibilidades de explotación, Binarly y Kaspersky lanzaron escáneres para detectar la biblioteca comprometida en software de código abierto.
Sin embargo, Debian dejó al menos 35 imágenes comprometidas accesibles en Docker Hub.
Binarly aclara que este número solo refleja una parte del problema, ya que no se realizó un escaneo completo en toda la plataforma.
Postura de Debian y críticas de Binarly
Debian sostiene que el riesgo es bajo porque la explotación requeriría:
- Tener sshd instalado y en ejecución en el contenedor.
- Que el atacante tenga acceso de red al servicio SSH.
- Que posea la clave privada específica para activar la puerta trasera.
No obstante, Binarly discrepa, advirtiendo que el simple hecho de mantener estas imágenes disponibles aumenta la probabilidad de que sean usadas accidentalmente en compilaciones automatizadas o proyectos de terceros.
Recomendación para los usuarios
Se aconseja verificar manualmente que la biblioteca xz-utils esté actualizada a la versión 5.6.2 o superior (la última estable es 5.8.1) antes de usar cualquier imagen o sistema basado en Linux que provenga de Docker Hub.
Fuente: somoslibres
