AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Imágenes de Docker en Docker Hub propagan el backdoor de XZ Utils más de un año después

admin

Introducción

Más de un año después del escándalo que sacudió al mundo de la ciberseguridad con la inserción de una puerta trasera en XZ Utils, nuevos hallazgos han revelado que imágenes de Docker disponibles públicamente en Docker Hub siguen distribuyendo binarios infectados. Este descubrimiento, realizado por el equipo de Binarly Research, pone de manifiesto la persistencia de amenazas supply chain y la problemática de la herencia transicional en ecosistemas de contenedores. Además, se ha identificado que múltiples imágenes han sido construidas sobre estas bases comprometidas, propagando el backdoor de forma transitoria y exponencial.

Contexto del Incidente o Vulnerabilidad

El incidente original de XZ Utils, catalogado como CVE-2024-3094, supuso una de las infiltraciones más sofisticadas en la cadena de suministro de software open source. El atacante logró, mediante compromiso de confianza y acceso mantenido a largo plazo, insertar código malicioso en versiones 5.6.0 y 5.6.1 de la biblioteca, afectando a sistemas que usaban OpenSSH sobre estas versiones. Tras una alerta lanzada en marzo de 2023, se activaron mecanismos globales de contención, pero la huella del backdoor persiste en repositorios y ecosistemas de empaquetado.

La reciente investigación de Binarly demuestra que el vector de contaminación no se ha limitado a sistemas legacy o distribuciones marginales, sino que ha alcanzado también imágenes de Docker utilizadas como base en entornos de desarrollo, CI/CD y despliegue en producción.

Detalles Técnicos

La vulnerabilidad CVE-2024-3094 reside en la manipulación de código fuente de XZ Utils, permitiendo la elaboración de archivos comprimidos específicamente diseñados para ejecutar código arbitrario en los sistemas afectados. El ataque se vincula a TTPs descritas en MITRE ATT&CK como “Supply Chain Compromise” (T1195) y “Valid Accounts” (T1078), dado que el atacante adquirió permisos legítimos para insertar el backdoor mediante contribuciones al proyecto original.

En el caso de Docker Hub, se han localizado imágenes que contienen las versiones comprometidas de XZ Utils, especialmente en variantes de Ubuntu, Debian y Alpine publicadas entre marzo y mayo de 2023. Según el informe, se han identificado más de 30 imágenes con hashes coincidentes, algunas de ellas descargadas decenas de miles de veces. La propagación transitoria se produce porque otras imágenes se construyen sobre estas mismas bases, heredando los binarios infectados y multiplicando el alcance potencial del exploit.

Indicadores de compromiso (IoC) incluyen la presencia de las bibliotecas liblzma.so.5.6.0 y liblzma.so.5.6.1, así como scripts de build alterados que compilan el código malicioso. Se han detectado actividad automatizada de escaneo y explotación a través de frameworks como Metasploit y Cobalt Strike, especialmente tras la publicación de exploits de prueba de concepto en repositorios públicos.

Impacto y Riesgos

La persistencia de este backdoor en imágenes de Docker implica riesgos directos para entornos de CI/CD, despliegues cloud y sistemas de orquestación Kubernetes. Un atacante podría obtener ejecución remota no autorizada, escalado de privilegios o incluso acceso lateral a otros servicios en el clúster. Se estima que más del 2% de las imágenes públicas de Docker Hub analizadas durante las últimas semanas contienen rastros de la vulnerabilidad.

A nivel económico, la contaminación de pipelines de CI/CD puede derivar en incidentes de alto impacto, como la filtración de secretos, robo de credenciales y sabotaje de infraestructura. Además, la exposición de datos personales y confidenciales puede suponer infracciones graves del GDPR y de la Directiva NIS2, con sanciones que pueden superar los 10 millones de euros o el 2% de la facturación anual de la empresa afectada.

Medidas de Mitigación y Recomendaciones

Los especialistas recomiendan auditar todas las imágenes base utilizadas en proyectos internos y pipelines de CI/CD, priorizando la verificación de hashes y la procedencia de las versiones de XZ Utils. Es esencial actualizar cualquier componente que contenga versiones 5.6.0 o 5.6.1, sustituyéndolas por releases auditadas y firmadas digitalmente.

Se recomienda el uso de herramientas de escaneo automático de vulnerabilidades (Trivy, Clair, Anchore) y la integración de controles de seguridad en la cadena CI/CD. Es fundamental desplegar políticas de “image pinning” para evitar actualizaciones no controladas y aplicar el principio de mínimo privilegio en los permisos de acceso a repositorios y orquestadores.

Opinión de Expertos

Según Alex Matrosov, CEO de Binarly, “La persistencia de backdoors en imágenes de Docker demuestra la urgencia de fortalecer la gobernanza en la cadena de suministro software. No basta con eliminar el componente vulnerable del upstream, sino que es necesario revalidar toda la infraestructura de despliegue y los artefactos derivados”.

Por su parte, analistas de SANS Institute advierten que la propagación transitoria es una amenaza que crecerá en los próximos años, especialmente en ecosistemas cloud-native donde las dependencias se gestionan de forma automatizada y muchas veces opaca.

Implicaciones para Empresas y Usuarios

Para las empresas, el hallazgo subraya la necesidad de mantener una higiene estricta en la gestión de contenedores y dependencias. Los usuarios y desarrolladores deben evitar la descarga de imágenes no auditadas y revisar periódicamente los componentes presentes en sus stacks. La dependencia de imágenes públicas debe ser minimizada y, siempre que sea posible, se recomienda construir imágenes desde fuentes verificadas.

Conclusiones

El incidente pone de relieve la complejidad de la seguridad en la cadena de suministro de software y la importancia de controles continuos sobre los artefactos utilizados en despliegues productivos. La proliferación de imágenes de Docker infectadas con el backdoor de XZ Utils más de un año después del incidente original demuestra que la amenaza supply chain continúa vigente y exige una respuesta coordinada de la comunidad profesional y los equipos de seguridad.

(Fuente: feeds.feedburner.com)