【正在深入调查】XZ Utils供应链投毒事件的真实影响:可能并不严重?

admin
admin
admin
102800
文章
87
评论
2024年3月31日00:14:06评论35 views字数 2089阅读6分57秒阅读模式

【正在深入调查】XZ Utils供应链投毒事件的真实影响:可能并不严重?

XZ Utils(之前称为LZMA Utils)是一套用于类Unix操作系统的免费软件命令行无损数据压缩工具集。

2024年3月,在XZ Utils的5.6版本分发中发现了一个后门。

目前,在企业使用的主流Linux发行版(Red Hat/CentOS/Debian/Ubuntu)的Stable稳定版仓库中尚未合并该存在后门的软件版本,企业内部可根据实际情况判断事件影响。

截至本文发出,长亭安全应急响应中心仍在分析与确认事件细节与事件影响,如后续有变更,将第一时间更新。

事件描述
 Description 
01

事件来源

2024年3月29日,在Openwall安全邮件列表上发布了一个帖子,提示liblzma的代码可能被篡改,而liblzma 是 XZ Utils 的一个核心组成部分。

在该帖子中,作者(Andres Freund)指出,有一些用于测试的tarballs被添加到了代码中,但最终却被用于通过对配置脚本的添加来设置后门。该问题被记录在CVE-2024-3094下,这个CVE ID是在公开漏洞后由Red Hat发出的。恶意代码已知存在于5.6.0和5.6.1版本中。

事件影响

根据Red Hat的通告:

在适当的情况下,这种干扰可能使攻击者有机会破坏sshd认证,并远程获取对整个系统的未授权访问权限。

利用条件
 Conditions 
02
根据Openwall帖子:
  • TERM环境变量未设置
  • argv[0] 需要设置为 /usr/sbin/sshd
  • LD_DEBUG, LD_PROFILE 未设置
  • 需要设置LANG
影响范围
Affects
03
XZ Utils == 5.6.0
XZ Utils == 5.6.1
Linux发行版
Version
04
截止目前,已知以下 Linux 发行版受影响:
发行版
安全公告
Fedora 41
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Fedora Rawhide(开发版)
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian sid, trixie(不稳定版)
https://security-tracker.debian.org/tracker/CVE-2024-3094
archlinux
https://security.archlinux.org/CVE-2024-3094
截止目前,已知以下 Linux 发行版不受影响:
发行版
安全公告
Fedora 40
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
RedHat 全部版本
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Debian 所有稳定版
https://security-tracker.debian.org/tracker/CVE-2024-3094
SUSE 全部版本
https://www.suse.com/security/cve/CVE-2024-3094.html






















排查方案


 Troubleshooting 








05












1/长亭工具排查












牧云本地检测方案


检测方法




下载本地专项检测工具,下载后运行适合操作系统和 CPU 架构的版本,如:




xz_cve_2024_3094_scanner_linux_amd64 scan




若输出结果包含“是否存在漏洞:是”或“VulnFound: true”则说明存在后门。




工具获取方式


https://stack.chaitin.com/tool/detail/1286












2/查询版本






xz --version






查看结果是否为5.6.0或5.6.1


3/自查脚本(来自Openwall帖子原作者)








#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]then  echo probably not vulnerable  exitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410then  echo probably vulnerableelse  echo probably not vulnerablefi












解决方案


 Solution 








06








官方已发布更新,更新至最新版本5.6.4。

原文始发于微信公众号(长亭安全应急响应中心):【正在深入调查】XZ Utils供应链投毒事件的真实影响:可能并不严重?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月31日00:14:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【正在深入调查】XZ Utils供应链投毒事件的真实影响:可能并不严重?https://cn-sec.com/archives/2615737.html

发表评论

匿名网友 填写信息