今天更新了一个 CVE 漏洞,XZ-Utils 5.6.0/5.6.1版本后门风险(CVE-2024-3094),来自阿里云漏洞库的介绍如图:
这个后门并非作者无意间编写加入,也不是引入存在后门的库文件而导致的问题,而是有人经过三年的潜伏,积极参与该项目的维护,在逐渐获得信任之后,获得了直接 commit 代码的权限,之后悄无声息的将后门代码注入其中。
这个事件算是一个典型的 APT 攻击事件,结合了社会工程学,实现了典型的供应链攻击,5.6.0 发布在 2 月下旬、5.6.1 发布在 3 月 9 日,一共存活不到两个月,发现者是 PostgreSQL 开发人员兼软件工程师 Andres Freund 意外发现,下面是 Debain 只能够更新的记录:
起因是登录 SSH 后,出现了 CPU 使用率过高,还有很多的 valgrind 错误,经过排查发现最近几周安装了 liblzma(xz 软件包的一部分),最终确定 xz 的 tarball 被设置后门,目前该项目的库已经被禁止访问(具体的恶意代码无从查看):
本次事件,好在这两个版本并没有被 Linux 发行版广泛集成,大部分在预发行版中,目前已知的几款系统存在问题,如下:
OS | Package name | Package version(s) | Fix package version | Reference |
---|---|---|---|---|
Fedora 40, Rawhide | xz | 5.6.0, 5.6.1 | Revert to 5.4.x | Details |
Debian unstable (Sid) | xz-utils | 5.6.1 | Revert to 5.4.5 | Details |
Alpine edge | xz | 5.6.1-r2 | Revert to 5.4.x | Details |
Arch Linux | xz | 5.6.0-1, 5.6.1-1 | Upgrade to 5.6.1-2 | Details |
openSUSE Tumbleweed openSUSE MicroOS | xz | 5.6.0 | Revert to 5.4.x | Details |
关于此次后门事件的应急处置参考建议:
1、查询服务器上的 xz 版本是否处于漏洞影响范围内 5.6.0-5.6.1
2、在流量审计设备或者 SOC 系统上查询是否有安装更新后门的记录,关键词 xz、5.6
3、重点排查外网暴露的 SSH 端口,以免因为后门事件,直接被攻破内网
目前 Github 上已经有很多开源的检测脚本,比如:
https://github.com/byinarie/CVE-2024-3094-info
该项目是个脚本集合,有关该漏洞检测已公开版脚本都收录了,不过在使用时要慎重,先阅读脚本再执行,免得漏洞没检测出来,被新的脚本供应链攻击成功,得不偿失。
参考来源:
https://xeiaso.net/notes/2024/xz-vuln/
https://www.mail-archive.com/xz-devel@tukaani.org/msg00571.html
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://linuxsecurity.com/advisories/debian/debian-dsa-5649-1-xz-utils-security-update-miwy4lbzklq4
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://www.phoronix.com/news/XZ-CVE-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://www.virustotal.com/gui/file/13d2a7961d5b7142cc4666f1997b0738d3bc4df904814febfed5c68c29e485d4/detection
https://www.reddit.com/r/linux/comments/1bqt999/backdoor_in_upstream_xzliblzma_leading_to_ssh/
https://www.reddit.com/r/sysadmin/comments/1bqu3zx/backdoor_in_upstream_xzliblzma_leading_to_ssh/
https://www.sdxcentral.com/articles/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094/2024/03/
https://linuxsecurity.com/advisories/debian/debian-dsa-5649-1-xz-utils-security-update-miwy4lbzklq4
https://en.wikipedia.org/wiki/XZ_Utils
https://github.com/tukaani-project/xz