La investigació de fallades en el rendiment de Linux ha revelat una porta del darrere a les versions més recents de l’eina xz Utils amb les quals un actor maliciós buscava aconseguir el control total dels sistemes afectats.

El desenvolupador Andres Freund va detectar un rendiment anòmal al sistema Debian amb el protocol d’inici de sessió remot SSH atès que consumia massa recursos de la CPU, cosa que, alhora, causava fallades a l’eina de depuració de memòria Valgrind.

   En investigar la causa d’aquest problema, el desenvolupador va descobrir una porta del darrere que un actor o grup maliciós havia implantat en una actualització recent d’xz, una eina de comprensió sense pèrdua que es fa servir àmpliament a Linux.

El codi maliciós trobat estava dissenyat per impactar en les funcions d’SSH i executar-se amb privilegis arrel, és a dir, que l’actor maliciós aconseguia la clau d’encriptació per iniciar sessió amb SSH a l’equip infectat i d’aquesta manera obtenia el control en remot de tot el sistema.

Tot i que no se sap qui hi ha al darrere, els investigadors de seguretat apunten la possibilitat que es tracti d’un usuari conegut com a JiaT575 o Jia Tan, com recullen en el blog de Deepfactor i el mitjà especialitzat Ars Technica. Aquest actor va fer el seu primer «commit» l’any 2021, un canvi al projecte libarchive, i un any després va començar a involucrar-se en xz Utils i enviar pedaços i actualitzacions.

La porta del darrere es troba a les versions 5.6.0 i 5.6.1, les més recents d’xz Utils, i per això des de Red Hat, una de les empreses que treballen amb Linux, s’ha instat els usuaris a no actualitzar o, en cas de fer-ho, a tornar a una versió anterior a les afectades.