发布时间 2024-03-30
近日,众智维科技麒麟安全实验室监测到XZ-Utils 5.6.0-5.6.1版本存在后门风险。该漏洞是因为开发者在XZ-Utils/Liblzma部分模块中注入恶意后门程序,且由于SSHD底层代码高度依赖liblzma,攻击者可能利用这一漏洞在受影响的系统上绕过SSHD服务认证,获取未授权访问权限,并执行任意代码。鉴于XZ-Utils的广泛使用,多个Linux发行版受到此漏洞的影响,包括Fedora Rawhide、Debian和Kali Linux等。由于此漏洞影响范围较大,建议用户立即进行漏洞排查和修复工作。
影响组件
漏洞概述
影响范围
xz和liblzma 5.6.0~5.6.1版本
-
可能的发行版/包管理系统,包括Fedora 41/Fedora RawhideDebian SidAlpine Edgex64架构的homebrew; -
滚动更新的发行版,包括Arch Linux/OpenSUSE Tumbleweed; -
如果您的系统使用systemd启动OpenSSH服务器,您的SSH认证过程可能被攻击。
安全措施
通用建议
02 在流量审计设备或者SOC系统上查询是否有安装更新后门的记录,关键词xz、5.6;
03 重点排查外网暴露的SSH端口,以免因为后门事件,直接被攻破内网;
04 同时通过SOAR+SCA软件成分分析模块 自动化排查相关第三方软件模块是否依赖xz库。
目前Github上已经有很多开源的检测脚本,比如:
https://github.com/byinarie/CVE-2024-3094-info
set -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi
红鲸RedOps处置方案
红鲸RedOps自动化处置Playbook
参考链接
-
https://nvd.nist.gov/vuln/detail/CVE-2024-3094 -
https://linuxsecurity.com/advisories/debian/debian-dsa-5649-1-xz-utils-security-update-miwy4lbzklq4
-
https://lists.debian.org/debian-security-announce/2024/msg00057.html
-
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
-
https://www.phoronix.com/news/XZ-CVE-2024-3094
-
https://www.sdxcentral.com/articles/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094/2024/03/
-
https://en.wikipedia.org/wiki/XZ_Utils
-
https://github.com/tukaani-project/xz
我们时刻关注客户需求,为您提供最新漏洞信息。如果您想了解更详细的支持信息,可联系下方邮箱或者电话进行咨询!
400-0133-123
原文始发于微信公众号(众智维安):紧急预警|CVE-2024-3094 Liblzma/XZ官方库存在后门导致无授权访问漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论