声明
我只是知识的搬运工,本文核心内容均来自于https://www.openwall.com/lists/oss-security/2024/03/29/4。我只是帮忙总结翻译下。
内部并无原创内容,不过应该比那些只知道吓人的公众号好点。
影响范围
●影响包名:xz, xz-utils
●版本:v5.6.0 v.5.6.1
●恶意代码被植入在压缩包文件中。目前看来,Redhat Debian的发行稳定版,均不受影响。只有测试版受影响。对这些版本而言,只有单独下载了受影响的压缩包,手动编译安装,才会被植入后门。
Red Hat Enterprise Linux (RHEL) 不受影响
Debian stable versions 不受影响
Suse Stable 不受影响
Freebsd 不受影响
AWS Linux不受影响
Kali Linux 3月26日(包括)之后的版本受影响
Fedora 41 and Fedora Rawhide受影响
Debian unstable (Sid)受影响
Debian testing, unstable experimental发行版, 版本从5.5.1alpha-0.1(uploaded on 2024-02-01), 到5.6.1-1(包含),均受影响
排查方式
查Debian RPM包系列的Linux。 - 先看软件版本是否符合。如何不符合,安全。 - 然后看在不在官方的受影响操作系统版本里面。如果符合(说明直接预置了受影响的版本),挂了 - 如果不符合,跑下面那段检测小脚本,继续看下。
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
触发条件
恶意代码植入限定了多个条件包括:
●x86-64 Linux
●构建Debian 或 RPM包
以上条件是and的关系
也就是说,只有Linux Debian RPM包才可能触发植入操作
利用方式
●目前来看,恶意代码没有外连功能,所以无法通过ioc外连排查
●通过ssh协议远程连接时,openssh会调用decrypt函数进行操作。该函数已经被恶意的lzma库进行了hook。从而攻击者可以未授权登录
后门植入方式
●下载xz 和 xz-utils的包后解压缩,执行configure
●创建恶意的 liblzma的Makefile
●在make时创建恶意的liblzma
Debian和一些Linux发行版中,openssh依赖systemd,systemd依赖lzma,进而导致,在ssh时会执行lzma中的恶意代码
处置建议
cisa建议downgrade到不受影响的版本。例如 XZ Utils 5.4.6 Stable
常见问题
Q:是不是只要看下自己的Linux系统在不在官方的通告里面就行了?
A:不是,谁知道你有没有手动装Q:我是mac,版本符合,受不受影响?
A:从目前掌握的原始信息来看,不受影响Q:是不是这个供应链确定只影响这两个库?A:不确定,因为我也不知道有没有傻逼代码库抄他们的代码,或引入他们的代码,或者在安装的时候依赖他们,从而触发那个后门植入条件
Q:你说了这么多,你觉得应该怎么查?
A:参照上面章节。 这个事情还在持续发酵中,建议持续跟进外面的官方权威信息。
其他这种程度的供应链攻击手法,持续,隐蔽。跟之前见到过的很多供应链攻击有明显不同,水平很高。
我很好奇是谁干的。
参考文档
●https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
●https://www.openwall.com/lists/oss-security/2024/03/29/4
●https://nvd.nist.gov/vuln/detail/CVE-2024-3094
文章来源: https://mp.weixin.qq.com/s?__biz=MzI1MjQwMTAyOQ==&mid=2247483855&idx=1&sn=13a48a1e2c31decad06367213547f917&chksm=e9e50525de928c3339c75a7cc8471208a57fe6c0ba4ef069fa40711148b9c148ef88183e1b0e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh