En marzo de 2024, la comunidad de Linux se vio sacudida por el descubrimiento de un backdoor en XZ Utils. Un desarrollador conocido como «Jia Tan» había dedicado dos años a construir confianza antes de insertar código malicioso en bibliotecas de compresión ampliamente utilizadas. Este backdoor atacaba servidores SSH al integrarse en las funciones criptográficas de OpenSSH mediante la biblioteca liblzma.so. La infección afectó a importantes distribuciones de Linux, como Debian, Fedora y OpenSUSE, que difundieron por error los paquetes comprometidos.
En pocas horas, los investigadores de seguridad se apresuraron a comprender el alcance completo de este ataque a la cadena de suministro. Sin embargo, más de un año después, nuevas investigaciones revelan que el backdoor persiste en lugares inesperados. Los investigadores de Binarly han identificado 12 imágenes de Debian oficiales en Docker Hub que todavía contienen el backdoor de XZ Utils. Estas imágenes comprometidas han estado accesibles durante más de 15 meses.
Las imágenes afectadas provienen principalmente del 11 de marzo de 2024, cuando el backdoor estaba activo. Incluyen diversas versiones de Debian como unstable, testing y trixie, que se construyeron durante el ataque. Además, se encontraron 35 imágenes más que utilizan estas bases comprometidas, aumentando aún más el problema. Binarly solo examinó contenedores de Debian, lo que sugiere que otras distribuciones de Linux podrían enfrentar problemas similares.
Binarly notificó a los mantenedores de Debian sobre las imágenes comprometidas y solicitó su eliminación. Sin embargo, el equipo de Debian argumentó que los contenedores eran demasiado antiguos y no representaban un peligro significativo. Según Tianon Gravi, del equipo de desarrollo de Debian, los vectores de ataque son mínimos, y las imágenes son versiones de desarrollo que no deberían usarse en sistemas de producción.
A pesar de cierto acuerdo con Debian, Binarly sostiene que mantener las imágenes comprometidas disponibles puede generar riesgos. Esta situación subraya cómo los ataques a la cadena de suministro pueden persistir en sistemas de contenedores mucho más tiempo de lo esperado.
vÃa: It’s Foss News
