一、漏洞概述
近日,绿盟科技CERT监测到安全社区披露XZ-Utils工具库存在后门漏洞(CVE-2024-3094),CVSS评分10。由于SSH底层依赖了liblzma,当满足一定条件时,攻击者可利用此漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,从而执行任意系统命令。经排查后发现为xz的tarball上游软件包中感染后门程序,该后门在构建过程中从伪装的测试文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函数,导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。目前漏洞细节已公开,请相关用户尽快采取措施进行排查与防护。
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的工具库套件,包含liblzma、xz等组件,集成在绝大多数Linux发行版仓库中。
参考链接:
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://access.redhat.com/security/cve/cve-2024-3094
二、事件背景
2021年10月,植入后门漏洞的开发者JiaT75开始参与XZ-Utils项目的开发,逐渐取得信任,并于2023年接管了项目维护权限,其在2024年2月向liblzma/xz提交恶意文件,引入了一个允许攻击者未授权访问SSH的隐蔽后门,同时联系Linux发行版维护者,要求将带后门的库打包并分发给最终用户,3月29日开发人员Andres Freund在分析SSH性能故障时,发现了该供应链攻击活动。目前GitHub已经关停了整个XZ-Utils项目。
三、影响范围
受影响版本
- XZ Utils = 5.6.0- 6.1
注:XZ的Git发行版中未发现恶意代码,仅存在于完整的下载包中。
目前已知受影响的Linux发行版:
Fedora Rawhide(开发版本)
Fedora 41
MACOS HomeBrew x64
openSUSE Tumbleweed 及 MicroOS(3月7日至3月28日期间发行)
Kali Linux (3月26日至3月28日期间发行的xz-utils 5.6.0-0.2)
Debian(XZ测试版本5.5.1alpha-0.1 至 5.6.1-1)
XZ供应链影响系统查询:https://repology.org/project/xz/version
不受影响版本
- XZ Utils < 5.6.0
注:因植入后门的开发者于2021年开始参与维护,安全起见建议用户将XZ-Utils降级至5.4或之前版本。
CentOS/Redhat/Ubuntu/Debian/Fedora等stable仓库不受影响。
四、漏洞检测
- 版本检测
用户可以通过执行以下命令判断使用的xz是否为受影响的版本:
xz –version |
- 脚本排查
相关用户也可使用Openwall上发布的脚本检查系统是否被感染后门:
#! /bin/bash
set -eu
# find path to liblzma used by sshd path=”$(ldd $(which sshd) | grep liblzma | grep -o ‘/[^ ]*’)”
# does it even exist? if [ “$path” == “” ] then echo probably not vulnerable exit fi
# check for function signature if hexdump -ve ‘1/1 “%.2x”‘ “$path” | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 then echo probably vulnerable else echo probably not vulnerable fi |
判断SSHD程序依赖的liblzma库文件二进制数据中是否包含后门特征码。
五、漏洞防护
- 修复建议
目前官方暂未针对此后门漏洞发布公告和版本升级,相关用户可将xz-utils降级至5.6.0之前版本或在应用中替换为7zip等组件。
注:brew更新已进行了版本回退,从5.6.1降级到5.4.6;Debian发布了xz utils更新,版本号为5.6.1+really5.4.5。
附录
部分IOCs
53d82bb511b71a5d4794cf2d8a2072c1
4f0cf1d2a2d44b75079b3ea5ed28fe54
d26cefd934b33b174a795760fc79e6b5
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。