CVE-2024-3094:XZ工具中新發(fā)現(xiàn)的后門

xz-utils 是一款流行的壓縮工具,在 Linux 系統(tǒng)中廣泛使用丽已,這表明了它在軟件生態(tài)系統(tǒng)中的關(guān)鍵作用斋射。2024 年 3 月 29 日發(fā)現(xiàn)的 xz-utils 后門使系統(tǒng)面臨潛在的后門訪問和遠(yuǎn)程代碼執(zhí)行風(fēng)險。它特別針對使用 glibc权烧、systemd 和已修補 OpenSSH 的系統(tǒng)上的 xz-utils 5.6.0 和 5.6.1 版本匪燕。…

譯自CVE-2024-3094: Newly Discovered Backdoor in XZ tools,作者 Ona Blanchette; Aqua Team捐寥。

哪些系統(tǒng)容易受到攻擊?

使用 glibc 以及 xz 或 liblzma 版本 5.6.0 或 5.6.1 的系統(tǒng)祖驱,尤其是那些帶有 systemd 和已修補 OpenSSH 的系統(tǒng)握恳,容易受到攻擊。這包括使用易受攻擊組件的 Linux 發(fā)行版系統(tǒng)捺僻,如下所示:

在云中乡洼,在面向公眾的服務(wù)上運行受影響版本的實例會放大風(fēng)險,因此需要立即更新以減輕漏洞匕坯。

云提供商可能擁有底層系統(tǒng)或基于這些易受攻擊版本提供服務(wù)束昵,因此云用戶必須驗證和更新其實例或咨詢其提供商的建議至關(guān)重要。

從去混淆的腳本中可以看出葛峻,只有 Linux x86_64 的某些版本容易受到攻擊锹雏,因為該腳本旨在“決定”是否修改構(gòu)建過程,如下所示:

圖 1: 此函數(shù)驗證目標(biāo)操作系統(tǒng)是否為 x86-64 Linux术奖。

漏洞時間線中的重要里程碑

Evan Boehs提供了一個很好的時間線摘要礁遵,總結(jié)了我們所看到的開源缺陷。

2021 年采记,Jia Tan (JiaT75) 首次加入 GitHub佣耐,并對 libarchive 進(jìn)行了可疑提交,引發(fā)了最初的擔(dān)憂挺庞。到 2022 年 4 月晰赞,Tan 開始影響 XZ 項目,導(dǎo)致他首次提交并成為主要貢獻(xiàn)者选侨。這一時期標(biāo)志著一個關(guān)鍵轉(zhuǎn)變掖鱼,最終在 2024 年發(fā)現(xiàn)了與 xz-utils 相關(guān)的重大漏洞。這些里程碑強調(diào)了開源項目維護(hù)中的漏洞以及未經(jīng)檢查的貢獻(xiàn)的影響援制。

此問題已分配CVE-2024-3094戏挡,甚至收到了CISA的警報。

技術(shù)信息(我們目前所知)

Andres Freund 分享了一篇文章晨仑,其中他解釋了他如何發(fā)現(xiàn)復(fù)雜的 backdoor褐墅。XZ-utils 中的惡意代碼僅在軟件的“tarball”發(fā)行版中找到拆檬,這些發(fā)行版是打包的源代碼文件。然而妥凳,在 GitHub 上的原始或上游源代碼中沒有發(fā)現(xiàn)它竟贯,這使得它更加隱蔽。GitHub 生成的源代碼鏈接被認(rèn)為是安全的逝钥,因為它們是從存儲庫本身自動創(chuàng)建的屑那,沒有 tarball 中版本 5.6.0 和 5.6.1 中發(fā)現(xiàn)的惡意代碼。

惡意代碼注入并混淆了腳本艘款,該腳本更改了 makefile持际,將損壞的測試文件引入構(gòu)建。

圖 2:注入的腳本

然后哗咆,更改后的構(gòu)建過程在編譯 liblzma 庫期間包含了惡意文件蜘欲。初始后門代碼替換了某些用于校驗和計算的函數(shù),特別是 crc32_resolve() 和 crc64_resolve()晌柬。

SSHD 加載這些庫姥份,攻擊者能夠繞過校驗和檢查并通過 SSH 連接訪問服務(wù)器。

補救措施

  • Fedora Linux 40 和 Rawhide
  • openSUSE
  • Kali Linux
  • Alpine
  • Debian(不穩(wěn)定)
  • Arch

強烈建議用戶立即停止使用 xz-utils 壓縮工具并降級到 xz-5.4.x空繁。請參閱以下鏈接以獲取有關(guān)降級這些軟件包的說明殿衰。

根據(jù)您使用的發(fā)行版,您可以使用Aqua Trivy確認(rèn)您不受此漏洞的影響盛泡。Trivy 促進(jìn)了對受支持平臺上漏洞的檢測闷祥,包括此漏洞。

此外傲诵,Aqua 的云原生應(yīng)用程序平臺 (CNAPP)確保了從開發(fā)到部署的強大安全性凯砍。它掃描代碼、容器映像和云工作負(fù)載中的漏洞和錯誤配置拴竹,利用 Aqua Trivy 的高級功能悟衩。在部署前,它與 CI/CD 管道集成以建立嚴(yán)格的控制栓拜,僅允許經(jīng)過審查的映像座泳。

通過利用縱深防御策略,您可以增強安全措施幕与,以減輕工作負(fù)載中的漏洞并保護(hù)它們免受惡意活動的影響挑势。

此外,您可以配置您的持續(xù)集成/持續(xù)部署 (CI/CD) 管道啦鸣,以便在各種條件下終止構(gòu)建過程潮饱。具體來說,此功能可用于防止將包含任何檢測到的漏洞的代碼提升到生產(chǎn)環(huán)境中诫给。

為了獲得針對任何漏洞的更全面的保護(hù)香拉,您可以利用我們先進(jìn)的行為檢測功能啦扬。這些功能旨在廣泛使用,而不僅僅限于識別任何單一漏洞或事件凫碌。它們經(jīng)過微調(diào)的靈敏度確保識別和防止惡意行為扑毡,從而允許實時攔截和阻止攻擊。

最后证鸥,這是一份已知受影響的 Linux 發(fā)行版僚楞、版本和補救步驟鏈接的列表:

參考:

在對我們的系統(tǒng)和映像進(jìn)行徹底審查后枉层,我們很高興地確認(rèn)我們的產(chǎn)品和映像不受 CVE-2024-3094 漏洞的影響。

本文在云云眾生https://yylives.cc/)首發(fā)赐写,歡迎大家訪問鸟蜡。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市挺邀,隨后出現(xiàn)的幾起案子揉忘,更是在濱河造成了極大的恐慌,老刑警劉巖端铛,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件泣矛,死亡現(xiàn)場離奇詭異,居然都是意外死亡禾蚕,警方通過查閱死者的電腦和手機您朽,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來换淆,“玉大人哗总,你說我怎么就攤上這事”妒裕” “怎么了讯屈?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長县习。 經(jīng)常有香客問我涮母,道長,這世上最難降的妖魔是什么躁愿? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任叛本,我火速辦了婚禮,結(jié)果婚禮上攘已,老公的妹妹穿的比我還像新娘炮赦。我一直安慰自己,他們只是感情好样勃,可當(dāng)我...
    茶點故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布吠勘。 她就那樣靜靜地躺著性芬,像睡著了一般。 火紅的嫁衣襯著肌膚如雪剧防。 梳的紋絲不亂的頭發(fā)上植锉,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機與錄音峭拘,去河邊找鬼俊庇。 笑死,一個胖子當(dāng)著我的面吹牛鸡挠,可吹牛的內(nèi)容都是我干的辉饱。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼拣展,長吁一口氣:“原來是場噩夢啊……” “哼彭沼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起备埃,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤姓惑,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后按脚,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體于毙,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年辅搬,在試婚紗的時候發(fā)現(xiàn)自己被綠了唯沮。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡伞辛,死狀恐怖烂翰,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情蚤氏,我是刑警寧澤甘耿,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站竿滨,受9級特大地震影響佳恬,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜于游,卻給世界環(huán)境...
    茶點故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一毁葱、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧贰剥,春花似錦倾剿、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽凛捏。三九已至,卻和暖如春芹缔,著一層夾襖步出監(jiān)牢的瞬間坯癣,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工最欠, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留示罗,地道東北人。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓芝硬,卻偏偏與公主長得像蚜点,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子吵取,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容