xz-utils 是一款流行的壓縮工具,在 Linux 系統(tǒng)中廣泛使用丽已,這表明了它在軟件生態(tài)系統(tǒng)中的關(guān)鍵作用斋射。2024 年 3 月 29 日發(fā)現(xiàn)的 xz-utils 后門使系統(tǒng)面臨潛在的后門訪問和遠(yuǎn)程代碼執(zhí)行風(fēng)險。它特別針對使用 glibc权烧、systemd 和已修補 OpenSSH 的系統(tǒng)上的 xz-utils 5.6.0 和 5.6.1 版本匪燕。…
譯自CVE-2024-3094: Newly Discovered Backdoor in XZ tools,作者 Ona Blanchette; Aqua Team捐寥。
哪些系統(tǒng)容易受到攻擊?
使用 glibc 以及 xz 或 liblzma 版本 5.6.0 或 5.6.1 的系統(tǒng)祖驱,尤其是那些帶有 systemd 和已修補 OpenSSH 的系統(tǒng)握恳,容易受到攻擊。這包括使用易受攻擊組件的 Linux 發(fā)行版系統(tǒng)捺僻,如下所示:
在云中乡洼,在面向公眾的服務(wù)上運行受影響版本的實例會放大風(fēng)險,因此需要立即更新以減輕漏洞匕坯。
云提供商可能擁有底層系統(tǒng)或基于這些易受攻擊版本提供服務(wù)束昵,因此云用戶必須驗證和更新其實例或咨詢其提供商的建議至關(guān)重要。
從去混淆的腳本中可以看出葛峻,只有 Linux x86_64 的某些版本容易受到攻擊锹雏,因為該腳本旨在“決定”是否修改構(gòu)建過程,如下所示:
圖 1: 此函數(shù)驗證目標(biāo)操作系統(tǒng)是否為 x86-64 Linux术奖。
漏洞時間線中的重要里程碑
Evan Boehs提供了一個很好的時間線摘要礁遵,總結(jié)了我們所看到的開源缺陷。
2021 年采记,Jia Tan (JiaT75) 首次加入 GitHub佣耐,并對 libarchive 進(jìn)行了可疑提交,引發(fā)了最初的擔(dān)憂挺庞。到 2022 年 4 月晰赞,Tan 開始影響 XZ 項目,導(dǎo)致他首次提交并成為主要貢獻(xiàn)者选侨。這一時期標(biāo)志著一個關(guān)鍵轉(zhuǎn)變掖鱼,最終在 2024 年發(fā)現(xiàn)了與 xz-utils 相關(guān)的重大漏洞。這些里程碑強調(diào)了開源項目維護(hù)中的漏洞以及未經(jīng)檢查的貢獻(xiàn)的影響援制。
此問題已分配CVE-2024-3094戏挡,甚至收到了CISA的警報。
技術(shù)信息(我們目前所知)
Andres Freund 分享了一篇文章晨仑,其中他解釋了他如何發(fā)現(xiàn)復(fù)雜的 backdoor褐墅。XZ-utils 中的惡意代碼僅在軟件的“tarball”發(fā)行版中找到拆檬,這些發(fā)行版是打包的源代碼文件。然而妥凳,在 GitHub 上的原始或上游源代碼中沒有發(fā)現(xiàn)它竟贯,這使得它更加隱蔽。GitHub 生成的源代碼鏈接被認(rèn)為是安全的逝钥,因為它們是從存儲庫本身自動創(chuàng)建的屑那,沒有 tarball 中版本 5.6.0 和 5.6.1 中發(fā)現(xiàn)的惡意代碼。
惡意代碼注入并混淆了腳本艘款,該腳本更改了 makefile持际,將損壞的測試文件引入構(gòu)建。
圖 2:注入的腳本
然后哗咆,更改后的構(gòu)建過程在編譯 liblzma 庫期間包含了惡意文件蜘欲。初始后門代碼替換了某些用于校驗和計算的函數(shù),特別是 crc32_resolve() 和 crc64_resolve()晌柬。
SSHD 加載這些庫姥份,攻擊者能夠繞過校驗和檢查并通過 SSH 連接訪問服務(wù)器。
補救措施
- Fedora Linux 40 和 Rawhide
- openSUSE
- Kali Linux
- Alpine
- Debian(不穩(wěn)定)
- Arch
強烈建議用戶立即停止使用 xz-utils 壓縮工具并降級到 xz-5.4.x空繁。請參閱以下鏈接以獲取有關(guān)降級這些軟件包的說明殿衰。
根據(jù)您使用的發(fā)行版,您可以使用Aqua Trivy確認(rèn)您不受此漏洞的影響盛泡。Trivy 促進(jìn)了對受支持平臺上漏洞的檢測闷祥,包括此漏洞。
此外傲诵,Aqua 的云原生應(yīng)用程序平臺 (CNAPP)確保了從開發(fā)到部署的強大安全性凯砍。它掃描代碼、容器映像和云工作負(fù)載中的漏洞和錯誤配置拴竹,利用 Aqua Trivy 的高級功能悟衩。在部署前,它與 CI/CD 管道集成以建立嚴(yán)格的控制栓拜,僅允許經(jīng)過審查的映像座泳。
通過利用縱深防御策略,您可以增強安全措施幕与,以減輕工作負(fù)載中的漏洞并保護(hù)它們免受惡意活動的影響挑势。
此外,您可以配置您的持續(xù)集成/持續(xù)部署 (CI/CD) 管道啦鸣,以便在各種條件下終止構(gòu)建過程潮饱。具體來說,此功能可用于防止將包含任何檢測到的漏洞的代碼提升到生產(chǎn)環(huán)境中诫给。
為了獲得針對任何漏洞的更全面的保護(hù)香拉,您可以利用我們先進(jìn)的行為檢測功能啦扬。這些功能旨在廣泛使用,而不僅僅限于識別任何單一漏洞或事件凫碌。它們經(jīng)過微調(diào)的靈敏度確保識別和防止惡意行為扑毡,從而允許實時攔截和阻止攻擊。
最后证鸥,這是一份已知受影響的 Linux 發(fā)行版僚楞、版本和補救步驟鏈接的列表:
參考:
Yara 規(guī)則由Florian Roth(Neo23x0)編寫勤晚。
在對我們的系統(tǒng)和映像進(jìn)行徹底審查后枉层,我們很高興地確認(rèn)我們的產(chǎn)品和映像不受 CVE-2024-3094 漏洞的影響。
本文在云云眾生(https://yylives.cc/)首發(fā)赐写,歡迎大家訪問鸟蜡。