xz是一種通用的數(shù)據(jù)壓縮格式，幾乎存在于每個(gè)Linux發(fā)行版中，無(wú)論是社區(qū)項(xiàng)目還是商業(yè)產(chǎn)品發(fā)行版。從5.6.0版本開(kāi)始，在xz的上游tarball包中發(fā)現(xiàn)了惡意代碼。通過(guò)一系列復(fù)雜的混淆手段，liblzma的構(gòu)建過(guò)程從偽裝成測(cè)試文件的源代碼中提取出預(yù)構(gòu)建的目標(biāo)文件，然后用它來(lái)修改liblzma代碼中的特定函數(shù)。這導(dǎo)致生成了一個(gè)被修改過(guò)的liblzma庫(kù)，任何鏈接此庫(kù)的軟件都可能使用它，從而攔截并修改與此庫(kù)的數(shù)據(jù)交互。

2024年3月28日，Ubuntu注意到一個(gè)上游的漏洞影響了xz-utils源代碼包。受影響的庫(kù)已經(jīng)從Ubuntu 24.04 LTS預(yù)發(fā)布構(gòu)建中移除。

3月29日，微軟PostgreSQL開(kāi)發(fā)人員Andres Freund在調(diào)查SSH性能問(wèn)題時(shí)，在開(kāi)源安全郵件列表中發(fā)帖稱，他在xz軟件包中發(fā)現(xiàn)了一個(gè)涉及混淆惡意代碼的供應(yīng)鏈攻擊。據(jù)Freund和RedHat稱，Git版的xz中沒(méi)有惡意代碼，只有完整下載包中存在。

xz 5.6.0和5.6.1版本庫(kù)中存在的惡意注入只包含在tarball下載包中。注入期間構(gòu)建時(shí)使用的第二階段工件存在于Git存儲(chǔ)庫(kù)中，以防存在惡意的M4宏。如果不合并到構(gòu)建中，第二階段文件是無(wú)害的。在發(fā)現(xiàn)者的演示中，發(fā)現(xiàn)它干擾了OpenSSH守護(hù)進(jìn)程。雖然OpenSSH沒(méi)有直接鏈接到liblzma庫(kù)，但它以一種使其暴露于惡意軟件的方式與systemd通信，因?yàn)閟ystemd鏈接到了liblzma。在適當(dāng)?shù)那闆r下，這種干擾有可能使惡意行為體破壞sshd認(rèn)證，并遠(yuǎn)程未經(jīng)授權(quán)訪問(wèn)整個(gè)系統(tǒng)。

截至3月30日，尚未觀察到利用此后門代碼的情況。關(guān)于該漏洞的利用細(xì)節(jié)目前還未明確，微步情報(bào)局將繼續(xù)深入跟進(jìn)該事件，有進(jìn)一步進(jìn)展會(huì)隨時(shí)更新。

影響范圍

xz 和 liblzma 5.6.0~5.6.1 版本，可能包括的發(fā)行版?/?包管理系統(tǒng)有：

Fedora?41?/?Fedora?RawhideDebian?SidAlpine?Edgex64?架構(gòu)的?homebrew

滾動(dòng)更新的發(fā)行版，包括?Arch?Linux?/?OpenSUSE?Tumbleweed

如果您的系統(tǒng)使用 systemd 啟動(dòng) OpenSSH 服務(wù)器，您的 SSH 認(rèn)證過(guò)程可能被攻擊。非 x64 (amd64)?架構(gòu)的系統(tǒng)不受影響。

排查建議

1、排查軟件版本是否在受影響范圍內(nèi)

您可以在命令行輸入?xz?--version?來(lái)檢查?xz 版本，如果輸出為 5.6.0?或 5.6.1 ，說(shuō)明您的系統(tǒng)可能已被植入后門。

另外需要注意的是，xz 5.6.0?和 5.6.1 尚未被集成進(jìn)Linux 發(fā)行版中，目前主要是在預(yù)發(fā)布版本中。除此之外，大部分的Linux發(fā)行版本中的openssh并不直接使用liblzma，目前已知的只有debian和一些openssh的補(bǔ)丁直接使用了liblzma。檢測(cè)是否被植入后門請(qǐng)使用自查方法中的檢測(cè)腳本。

2、如果相關(guān)版本在受影響范圍內(nèi)，利用如下自查腳本排查是否存在后門：

#! /bin/bash

set -eu

# find path to liblzma used by sshd

path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?

if [ "$path" == "" ]

then

echo probably not vulnerable

exit

fi

# check for function signature

if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410

then

echo probably vulnerable

else

echo probably not vulnerable

fi

3、如果核實(shí)存在相關(guān)后門文件：

若確認(rèn)受影響，請(qǐng)將xz降級(jí)至?5.4.6 版本。

微步漏洞情報(bào)

微步在線官方漏洞支持說(shuō)明地址：https://x.threatbook.com/v5/vul/XVE-2024-6143?searchStr=XVE-2024-6143

參考地址

https://access.redhat.com/security/cve/CVE-2024-3094

https://bugzilla.redhat.com/show_bug.cgi?id=2272210

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/