Nella speranza di fare un po' di chiarezza.
La backdoor scoperta è una RCE, letteralmente esecuzione di codice remoto (Remote Code Execution).
Per quanto noto, l'attacco consiste nel far validare un certificato RSA (da non confondere con una chiave RSA) costruito ad hoc, questo certificato ha come payload del codice da eseguire.
Tale backdoor è compilata solo su distro linux x86-64 basate sui pacchetti .deb o .rpm, binari prodotti su sistemi diversi non la contengono.
L'attacco ha effetto su tutte le versioni di sshd che importanto la libreria liblzma (questo avviene su Fedora e Debian, ma su tante altre distro no), a prescindere che l'autenticazione tramite certificati sia attiva o meno.
Non è detto che non ci siano altri "applicativi" che consentano di sfruttare quella backdoor, la validazione di certificati RSA non è una cosa poi così poco comune.
N.B.: Non è detto che questa sia l'unica backdoor, anzi si è scoperto che lo stesso sviluppatore aveva indebolito la sicurezza di libarchive sostituendo delle print sicure con print non sicure e disattivato il meccanismo di landlock (una sorta di "sandbox") in XZ.
Per la questione: ho la backdoor installata, ma ho ssh non esposto, sono al sicuro?
La risposta è non si sa, l'attacco potrebbe arrivare anche da altri dispositivi nella LAN (a loro volta "infettati", es. il classico DVR) o potrebbe colpire altri applicativi.
Qui trovate un po' di informazioni:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor