xz xz-utils供应链攻击CVE-2024-3094初步分析
2024-3-30 15:28:11 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

声明

我只是知识的搬运工,本文核心内容均来自于https://www.openwall.com/lists/oss-security/2024/03/29/4。我只是帮忙总结翻译下。

内部并无原创内容,不过应该比那些只知道吓人的公众号好点。

影响范围
影响包名:xz, xz-utils
版本:v5.6.0 v.5.6.1
恶意代码被植入在压缩包文件中。目前看来,Redhat Debian的发行稳定版,均不受影响。只有测试版受影响。对这些版本而言,只有单独下载了受影响的压缩包,手动编译安装,才会被植入后门。

      • Red Hat Enterprise Linux (RHEL) 不受影响

      • Debian stable versions 不受影响

      • Suse Stable 不受影响

      • Freebsd 不受影响

      • AWS Linux不受影响

      • Kali Linux 3月26日(包括)之后的版本受影响

      • Fedora 41 and Fedora Rawhide受影响

      • Debian unstable (Sid)受影响

      • Debian testing, unstable experimental发行版, 版本从5.5.1alpha-0.1(uploaded on 2024-02-01), 到5.6.1-1(包含),均受影响

排查方式

查Debian RPM包系列的Linux。

 - 先看软件版本是否符合。如何不符合,安全。 - 然后看在不在官方的受影响操作系统版本里面。如果符合(说明直接预置了受影响的版本),挂了 - 如果不符合,跑下面那段检测小脚本,继续看下。

#! /bin/bash
set -eu

# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi

# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi




触发条件
恶意代码植入限定了多个条件包括:
x86-64 Linux
构建Debian 或 RPM包
以上条件是and的关系
也就是说,只有Linux Debian RPM包才可能触发植入操作
利用方式
目前来看,恶意代码没有外连功能,所以无法通过ioc外连排查
通过ssh协议远程连接时,openssh会调用decrypt函数进行操作。该函数已经被恶意的lzma库进行了hook。从而攻击者可以未授权登录

后门植入方式
下载xz 和 xz-utils的包后解压缩,执行configure
创建恶意的 liblzma的Makefile
在make时创建恶意的liblzma

Debian和一些Linux发行版中,openssh依赖systemd,systemd依赖lzma,进而导致,在ssh时会执行lzma中的恶意代码


处置建议
cisa建议downgrade到不受影响的版本。例如 XZ Utils 5.4.6 Stable

常见问题

Q:是不是只要看下自己的Linux系统在不在官方的通告里面就行了?
A:不是,谁知道你有没有手动装Q:我是mac,版本符合,受不受影响?
A:从目前掌握的原始信息来看,不受影响Q:是不是这个供应链确定只影响这两个库?A:不确定,因为我也不知道有没有傻逼代码库抄他们的代码,或引入他们的代码,或者在安装的时候依赖他们,从而触发那个后门植入条件
Q:你说了这么多,你觉得应该怎么查?
A:参照上面章节。     这个事情还在持续发酵中,建议持续跟进外面的官方权威信息。


其他这种程度的供应链攻击手法,持续,隐蔽。跟之前见到过的很多供应链攻击有明显不同,水平很高。
我很好奇是谁干的。

参考文档
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://nvd.nist.gov/vuln/detail/CVE-2024-3094

文章来源: https://mp.weixin.qq.com/s?__biz=MzI1MjQwMTAyOQ==&mid=2247483855&idx=1&sn=13a48a1e2c31decad06367213547f917&chksm=e9e50525de928c3339c75a7cc8471208a57fe6c0ba4ef069fa40711148b9c148ef88183e1b0e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh