主要 Linux 发行版均受到涉及 XZ Utils 数据压缩库后门版本的供应链攻击的影响。
发现后门的微软软件工程师 Andres Freund, 解释 该恶意代码是在 2024 年 2 月发布的 XZ Utils 5.6.0 版本的 tarball 下载包中引入的。
不久后发布了 5.6.1 版本,其中包含更新的恶意代码,其中包括额外的混淆和对某些配置中发生的错误的修复。
该代码旨在在脚本末尾执行并修改 liblzma 库(XZ Utils 包的一部分),以提供对系统的未经身份验证的访问。 红帽将此问题跟踪为 CVE-2024-3094,CVSS 分数为 10/10。
“通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定函数。 这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”红帽解释道。
该后门通过 systemd 干扰 sshd 中的身份验证,利用允许通过 SSH 协议远程访问系统的服务,从而可能允许攻击者破坏 sshd 身份验证并获得对系统的访问权限。
Cyolo 安全研究主管 Dor Dali 表示:“随着攻击者不断发展,设计漏洞变得越来越普遍,CVE-2024-3094-xz 供应链攻击只会引发更多危险信号,以确保周边安全。” , 告诉 安全周刊。
“该漏洞暴露了一个严重的安全风险,最终使攻击者能够绕过身份验证协议并远程访问整个系统,”达利说。 “发现的恶意代码表明,组织遵循最佳实践是多么重要,包括避免 SSH 直接暴露到互联网以及实施额外的安全措施。”
迄今为止,已确认受到攻击影响的 Linux 发行版包括 Fedora Rawhide 和 Fedora Linux 40 beta (但不是红帽企业 Linux), openSUSE Tumbleweed 和 openSUSE MicroOS, 卡利Linux, 和 架构Linux。
德班 和 乌班图 宣布没有稳定版本包含后门软件包,并且 亚马逊Linux, 阿尔卑斯Linux, Gentoo Linux, 和 Linux薄荷 不受影响。
软件供应链公司 Binarly 发布了一款免费后门检测器,名为 XZ.失败 其中包括通用 IFUNC 植入检测,误报率接近于零。 Binarly 的检测基于行为分析,如果类似的后门被植入其他地方,它可以自动检测任何不变量。
此外,其他安全研究人员也 释放 允许用户扫描系统以确定他们是否正在使用恶意库的脚本。
XZ Utils 是一种用于压缩/解压缩 .xz 文件的命令行工具,不仅在各种 Linux 发行版中使用,而且还作为其他库的依赖项,这种供应链攻击具有广泛的影响。
“截至目前,OpenSSH 在近 2000 万个 IP 上运行,其普及程度几乎是 RDP(远程桌面协议)的 10 倍。 如果有人成功地引入了广泛部署的后门,那么以后的情况就会很糟糕。”安全研究员 Kevin Beaumont 笔记。
为了隐藏自己,后门使用 多级装载机,以及允许通过其他文件部署更新的功能,以便原始 XZ 代码更改保持不变。
后门是 贾坦介绍,去年成为 XZ Utils 的维护者。 他的 GitHub 帐户 JiaT75 也为其他与压缩相关的库做出了贡献。
在 2023 年底减少对该项目的安全保护并将该项目的 URL 更新到 GitHub 页面后,Jia Tan 于 2024 年初修改了该库以包含恶意代码。威胁行为者还请求成为 Linux 内核模块维护者对于 XZ 嵌入式。
然而,据该项目的原作者 Lasse Collin 称,Jia Tan 仅有访问权 到 GitHub 存储库,但不到项目的网站、Git 存储库和相关文件。 GitHub 已暂停 Collin 和 Tan 的帐户。
“值得注意的是,攻击者不需要将恶意代码提交到公共存储库。 修改 GitHub 上托管的版本 tarball 并由 Linux 发行版用来构建软件包就足够了。 提交代码可能是为了让 tarball 的更改看起来不那么可疑。”Coinspect 首席执行官兼创始人 Juliano Rizzo 笔记。
由于恶意代码包含在 XZ Utils 版本 5.6.0 和 5.6.1 中,因此将受影响的包恢复为使用该库的 5.4.x 版本可以消除后门。 XZ Utils 5.4.6 是最新的、稳定的、不受影响的版本。
美国网络安全机构CISA 建议 开发人员和用户将 XZ Utils 降级到干净版本并检查其系统是否存在任何恶意活动。
有关的: 观看:2024 年供应链和第三方风险峰会
有关的: 研究人员指出软件供应链攻击“显着升级”
1712072124
#供应链攻击受 #Utils #后门影响的主要 #Linux #发行版
2024-04-01 13:57:12
