紧急排查！liblzma/xz官方库被植入后门（附排查脚本）

2024年3月30日23:35:47评论28 views字数 2020阅读6分44秒阅读模式

后门事件：

XZ是类Unix操作系统上的一种无损数据压缩格式，通常与gzibzip2 等其他常见数据压缩格式进行比较。XZ Utils是一个命令行工具，包含XZ文件和liblzma的压缩和解压缩功能，liblzma是一种用于数据压缩的类似zlib的API，并且还支持旧版 .lzma 格式。

3月29日，有开发人员在安全邮件列表上发帖称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，进一步溯源发现SSH使用的上游liblzma库被植入了后门代码，恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数，该代码是XZ Utils软件包的一部分，链接到 XZ 库的任何软件都可以使用此修改后的代码，并允许拦截和修改与该库一起使用的数据。

受影响系统：

目前已知XZ Utils版本5.6.0和5.6.1受到影响，恶意代码还不存在于XZ的Git发行版中，仅存在于完整的下载包中。已知的Linux发行版：

Fedora Rawhide
Fedora 41
Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1

自查方法：

在系统中执行脚本

#!/bin/bash

set -eu

# 查找sshd使用的liblzma的路径
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"

# 是否存在liblzma？
if [ "$path" == "" ]
then
  echo "probably not vulnerable"
  exit
fi

# 检查函数签名
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
  echo "probably vulnerable"
else
  echo "probably not vulnerable"
fi

#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

紧急排查！liblzma/xz官方库被植入后门（附排查脚本）

参考链接：

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils
https://www.lacework.com/blog/guidance-for-cve-2024-3094-finding-and-responding-to-the-latest-supply-chain-compromise-with-lacework/
https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/
https://github.com/byinarie/CVE-2024-3094-info
https://github.com/FabioBaroni/CVE-2024-3094-checker
https://github.com/lypd0/CVE-2024-3094-Vulnerabity-Checker
https://github.com/bioless/xz_cve-2024-3094_detection
https://github.com/Hacker-Hermanos/CVE-2024-3094_xz_check

原文始发于微信公众号（乌雲安全）：紧急排查！liblzma/xz官方库被植入后门（附排查脚本）

左青龙
微信扫一扫

右白虎
微信扫一扫

紧急排查！liblzma/xz官方库被植入后门（附排查脚本）

勒索软件团伙通过 PuTTy、WinSCP 虚假广告下载瞄准 Windows 管理员

赛门铁克警告称，Kimsuky APT 在针对韩国的攻击中使用了新 Linux 后门

APT42 | 凭证收集活动攻击生命周期

Kinsing黑客组织利用更多漏洞扩大加密挖矿僵尸网络

WebTPA 数据泄露事件影响 240 万保险投保人

Grandoreiro木马重浮水面，全球1500多家组织遭殃

2024 常见 macOS 恶意软件洞察：勒索软件、木马仍占主导地位

赛门铁克警告称，Kimsuky APT 在针对韩国的攻击中使用了新 Linux 后门

Windows XP/2000无保护上网：瞬间就中了几十种病毒

国内多地3万余条新生儿信息被倒卖，背后非法产业链曝光

发表评论

在线咨询

微信