威胁行为者花了两年时间实施 Linux 后门

过去两年，一名威胁行为者悄悄地将自己融入 XZ Utils 的核心维护团队中，XZ Utils 是一种广泛用于 Linux 系统的免费软件命令行数据压缩器。 攻击者慢慢地在软件中集成了一个后门，该后门旨在干扰 SSHD 并允许通过 SSH 登录证书远程执行代码。 该后门在全球多个 Linux 系统上发布前几天被发现。

威胁行为者疑似是一名名为“Jian Tan”的开发者。 几位安全专家认为，这次供应链攻击可能是国家资助的。

什么是XZ Utils，什么是XZ后门？

XZ Utils 及其底层库 liblzma 是一个免费软件工具，它实现了 XZ 和 LZMA，这两种压缩/解压缩算法广泛用于基于 Unix 的系统（包括 Linux 系统）。 这些系统上的许多操作都使用 XZ Utils 来压缩和解压缩数据。

这 CVE-2024-3094 XZ Utils 中发现的后门被实施来干扰身份验证 固态硬盘，处理 SSH 连接的 OpenSSH 服务器软件。 该后门使攻击者能够通过 SSH 登录证书执行远程代码。 仅 XZ Utils 版本 5.6.0 和 5.6.1 受到影响。

XZ后门多年来如何被谨慎实施

2024年3月29日，微软软件工程师 安德烈斯·弗罗因德报告了后门的发现。 当他对 Debian sid 安装的奇怪行为感兴趣时，例如 SSH 登录占用大量 CPU 和 选举门 错误并决定深入分析症状。 弗罗因德解释说 XZ后门的发现是幸运的，因为它“确实需要很多巧合”。

然而，后门的实施似乎是一个非常安静的过程，花了大约两年的时间。 2021年，一位名叫Jian Tan（用户名JiaT75）的开发者突然出现，开始开发XZ Utils代码，这并不罕见，因为自由软件的开发者经常一起更新代码。 自 2021 年底以来，Tan 频繁为 XZ 项目做出贡献，慢慢建立了社区的信任。

2022年5月，一名身份不明的用户使用假名 Dennis Ens 在 XZ 邮件列表上抱怨 软件更新并不令人满意。 另一位不知名用户 Jigar Kumar 也加入了讨论 二 次 向 XZ Utils 的主要开发人员 Lasse Collin 施压，要求其为该项目添加维护人员。 Jigar Kumar 写道：“除非有新的维护者，否则不会取得进展。” “为什么要等到 5.4.0 才更换维护者？ 为什么要延迟你的回购需求呢？”

与此同时，科林 表达 “Jia Tan 帮助我从 XZ Utils 的名单中删除，他可能在未来至少在 XZ Utils 中扮演更重要的角色。 很明显，我的资源太有限（因此有许多电子邮件等待回复），因此从长远来看，必须做出一些改变。” （Collin 在他的消息中写了 Jia，而其他消息则提到了jian。为了增加混乱，Jian 的昵称是 JiaT75。）

在接下来的几个月里，Tan 越来越多地参与 XZ Utils 并成为该项目的共同维护者。 2024 年 2 月，Tan 发布了 XZ Utils 5.6.0 和 5.6.1 版本的提交，这两个版本都包含后门。

还有趣的是，在 2023 年 7 月， Tan 请求禁用 ifunc （GNU 间接函数）oss-fuzz，一个用于检测软件漏洞的公共工具。 该操作可能是为了让 XZ 中的后门在发布后不被发现，因为后门利用该功能来实现其目标。

最后，攻击者联系了负责不同 Linux 发行版的几位人员，要求他们将后门版本的 XZ Utils 包含在他们自己的发行版中。 RedHat 的 Richard WM Jones 在论坛上写了相关内容：“非常烦人 – 后门的明显作者在几周内与我沟通，试图将 xz 5.6.x 添加到 Fedora 40 和 41，因为它是“很棒的新功能”。 我们甚至与他合作解决了 valgrind 问题（现在证明是由他添加的后门引起的）。 在无意中违反禁运后，我们昨晚必须加紧努力解决问题。 他参与 xz 项目已经有两年了，添加了各种二进制测试文件，说实话，对于这种复杂程度，我什至会对 xz 的旧版本表示怀疑，除非有其他证明。” Tan 也尝试将其包含在 Ubuntu 中。

XZ 后门：技术性很强的攻击

除了本文前面介绍的高度复杂的社会工程之外，后门本身也非常复杂。

微软高级威胁研究员 托马斯·罗西亚 (Thomas Roccia) 设计并发布了信息图 显示导致 CVE-2024-3094 的整个操作（图A）。

图A

该后门由多个部分组成，这些部分已包含在 XZ Utils GitHub 上的多次提交中， 弗罗因德深入描述。

Gynvael Coldwind，HexArcana Cyber​​security GmbH（一家提供咨询和课程服务的网络安全公司）董事总经理， 写道 在对后门的详细分析中，“有人付出了很多努力，让它看起来很无辜，隐藏得很好。 从用于存储有效负载的二进制测试文件，到文件雕刻、替换密码和 AWK 中实现的 RC4 变体，所有这些都只需使用标准命令行工具即可完成。 所有这一切都在 3 个执行阶段中完成，并且具有面向未来的“扩展”系统，而无需再次更改二进制测试文件。”

下载：TechRepublic Premium 的开源快速术语表

Bitdefender 技术解决方案总监 Martin Zugec 在向 TechRepublic 提供的一份声明中表示，“这似乎是一次精心策划的、持续多年的攻击，可能得到了国家行为者的支持。 考虑到我们投入的巨大努力以及我们所看到的易受攻击系统的低流行率，负责的威胁行为者现在一定非常不高兴，因为他们的新武器在广泛部署之前就被发现了。”

哪些操作系统受到 XZ 后门的影响？

由于弗罗因德的发现，攻击在更广泛的范围内传播之前就被阻止了。 网络安全公司 Tenable 公开了以下已知受 XZ 后门影响的操作系统：

• 费多拉·拉维德。
• Fedora 40 测试版。
• 软呢帽 41。
• Debian 测试、不稳定和实验发行版版本 5.5.1alpha-01 至 5.6.1-1。
• openSUSE Tumbleweed。
• openSUSE MicroOS。
• 卡利Linux。
• 拱门Linux。

红帽在一篇博文中报道称 Red Hat Enterprise Linux 的所有版本均不受 CVE-2024-3094 的影响。

Debian 表示没有稳定版本的发行版受到影响， 和 Ubuntu 表示 Ubuntu 的任何发行版本均未受到影响。

MacOS 自制程序包管理器将 XZ 从 5.6.x 恢复到 5.4.6，这是一个较旧但安全的版本。 Bo Anderson，维护者和 Homebrew 技术指导委员会成员， 宣布 Homebrew 并不“……相信 Homebrew 的构建受到了损害（后门仅适用于 deb 和 rpm 构建），但 5.6.x 被视为不再值得信赖，作为预防措施，我们强制降级到 5.4.6。”

如何减轻和防范这种 XZ 后门威胁

更多系统可能会受到影响，尤其是那些开发人员编译了易受攻击的 XZ 版本的系统。 保安公司 Binarly 提供在线检测工具 可用于测试系统以查看它们是否受到 XZ 后门的影响。

应仔细检查XZ的版本，5.6.0和5.6.1版本包含后门。 建议恢复到以前已知的 XZ Utils 安全版本，例如 5.4。

软件供应链攻击正在增加

正如 TechRepublic 之前报道的那样，威胁行为者越来越多地使用软件供应链攻击。

然而，通常的软件供应链攻击大多是在软件开发过程中设法破坏关键帐户，并利用该帐户将恶意内容推送到合法软件中，而这些攻击通常会很快被检测到。 在 XZ Utils 案例中，情况非常不同，因为威胁行为者精心设法获得了合法开发人员的信任，并成为该工具的维护者之一，从而使他能够在不被注意的情况下慢慢地将代码的不同易受攻击部分推送到软件中。

软件供应链攻击并不是唯一日益增加的威胁； 其他基于IT产品的供应链攻击也在增加。

因此，公司应确保在攻击面监控中考虑第三方。

披露： 我在趋势科技工作，但本文中表达的观点是我的。