«

紧急:XZ Utils 库中发现秘密后门,影响主要 Linux 发行版

时间:2024-4-1 16:21     作者:之参博客     分类: 网络相关


红帽公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。

IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”

具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”

“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD),并允许特定的远程攻击者(拥有特定的私钥)发送任意代码JFrog说:“通过 SSH 发送有效负载,该负载将在身份验证步骤之前执行,从而有效地劫持整个受害计算机。 ”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。

“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”弗罗因德说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版,和乌班图。

出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:

Arch Linux(安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711,以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日(含)期间创建的容器映像)
Kali Linux(3 月 26 日至 29 日期间)
openSUSE Tumbleweed 和 openSUSE MicroOS(3 月 7 日至 28 日期间)
Debian 测试、不稳定和实验版本(从 5.5.1alpha-0.1 到 5.6.1-1)

标签: linux 后门