En marzo de 2024 se descubrió una de las puertas traseras más peligrosas en el ecosistema Linux: la de XZ-Utils. Más de un año después, todavía hay al menos 35 imágenes de Linux en Docker Hub que la contienen, poniendo en riesgo a usuarios, empresas y sus datos.
Docker Hub es el repositorio público oficial de imágenes de contenedores, utilizado por desarrolladores y organizaciones de todo el mundo para subir y descargar imágenes listas para usar. Muchos pipelines de CI/CD y entornos de producción las usan directamente como base para sus propios contenedores, lo que significa que si esa base está comprometida, tu proyecto también lo estará.
¿Cuál es el problema?
Investigadores de Binarly descubrieron que, aunque la vulnerabilidad fue corregida hace tiempo, algunas imágenes comprometidas siguen disponibles públicamente. Peor aún, hay imágenes creadas sobre esas bases infectadas, heredando la puerta trasera de forma indirecta.
La vulnerabilidad, identificada como CVE-2024-3094, estaba oculta en la librería liblzma.so de la herramienta de compresión xz-utils (versiones 5.6.0 y 5.6.1). Permitía que, si un atacante con una clave privada especial se conectaba por SSH a un sistema afectado, pudiera saltarse la autenticación y ejecutar comandos como root.
Esta puerta trasera fue insertada por un colaborador del proyecto llamado “Jia Tan” y llegó a distribuirse en paquetes oficiales de Debian, Fedora, OpenSUSE y Red Hat, convirtiéndose en uno de los incidentes más graves de la cadena de suministro de software.
Títulos similares: Hackers chinos lanzan ataques de puerta trasera en Myanmar
La polémica con Debian
Binarly reportó estas imágenes a Debian, uno de los mantenedores que aún las tenía en Docker Hub. Sorprendentemente, decidieron no retirarlas, argumentando que el riesgo es bajo y que es importante mantenerlas por motivos de archivo histórico. Según Debian, para que el ataque sea posible, el contenedor tendría que tener SSH instalado y activo, el atacante necesitaría acceso a ese servicio y la clave privada específica de la puerta trasera.
Pero desde TecnetOne coincidimos con Binarly: dejarlas disponibles sigue siendo un riesgo, porque cualquiera podría usarlas por accidente o integrarlas en una build automatizada sin darse cuenta.
Respuesta del mantenedor de DebianFuente: Binarly
Podría interesarte leer: Nuevo Malware Plague Ataca Dispositivos Linux
¿Cómo protegerte?
Si usas imágenes de Docker Hub (especialmente de Debian o derivadas), te recomendamos:
- Evita usar imágenes antiguas y descarga solo las que tengan actualizaciones recientes.
- Verifica la versión de xz-utils dentro de la imagen. Debe ser 5.6.2 o superior (la más reciente es la 5.8.1).
- Usa herramientas de escaneo de vulnerabilidades antes de desplegar.
- Mantén un inventario de imágenes y actualízalas regularmente.
- Configura políticas en tus pipelines para impedir el uso de imágenes no aprobadas.
Conclusión
La permanencia de estas imágenes comprometidas en Docker Hub es un recordatorio claro de que la seguridad no termina con la detección de una amenaza: también implica limpiar, eliminar y educar a los equipos sobre su impacto.
Te recomendamos auditar regularmente tus imágenes base y evitar el uso de versiones antiguas o no verificadas, para que tus entornos de desarrollo y producción estén libres de riesgos heredados.