Una nueva investigación ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año después del descubrimiento del incidente.
Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes base infectadas, propagando efectivamente la infección aún más de manera transitiva, dijo Binarly Research en un informe compartido con Hacker News.
La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software.
El evento de la cadena de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la alarma en una puerta trasera incrustada dentro de las versiones de XZ Utils 5.6.0 y 5.6.1.
Un análisis posterior del código malicioso y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un acceso remoto no autorizado y habilitar la ejecución de cargas útiles arbitrarias a través de SSH.
Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal manera que se activó cuando un cliente interactúa con el servidor SSH infectado.
Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo IFUNC del GLIBC, el código malicioso permitió que un atacante poseía una clave privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota «, explicó binarly.
El segundo hallazgo fue que los cambios fueron impulsados por un desarrollador llamado «Jia Tan» (Jiat75), quien pasó casi dos años contribuyendo al proyecto de código abierto para generar confianza hasta que se les otorgó responsabilidades del mantenedor, lo que indica la naturaleza meticulosa del ataque.
«Esta es claramente una operación muy compleja patrocinada por el estado con una sofisticación impresionante y una planificación de varios años», señaló Binario en ese momento. «Un marco de implantación integral tan complejo y diseñado profesionalmente no se desarrolla para una operación de un solo disparo».
La última investigación de la compañía muestra que el impacto del incidente continúa enviando réplicas a través del ecosistema de código abierto incluso después de todos estos meses.
Esto incluye el descubrimiento de 12 imágenes de Docker de Debian que contienen una de la puerta trasera XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas.
Binarly dijo que informó las imágenes base a los mantenedores de Debian, quienes dijeron que «han tomado una decisión intencional para dejar estos artefactos disponibles como una curiosidad histórica, especialmente dada lo siguiente extremadamente improbable (en los casos de uso de imágenes de contenedores/contenedores) requeridos para la explotación».
Sin embargo, la compañía señaló que dejar imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red para la red conlleva un riesgo de seguridad significativo, a pesar de los criterios requeridos para una explotación exitosa: la necesidad de acceso a la red al dispositivo infectado con el servicio SSH en ejecución.
«El incidente de la puerta trasera XZ-Utils demuestra que incluso el código malicioso de corta duración puede pasar desapercibido en las imágenes oficiales de contenedores durante mucho tiempo, y eso puede propagarse en el ecosistema Docker», agregó.
«El retraso subraya cómo estos artefactos pueden persistir y propagarse silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de las versión».