XZ开源项目的漏洞分析与应急

2024年3月30日，开源项目xz爆出一个高危漏洞。此漏洞利用开源软件供应链投毒，手法和影响范围都可以用“前所未有”来形容。CVSS给出了满分10的分值。以下为赛博昆仑团队对此漏洞的分析与响应。

1. 概述

漏洞名称	liblzma注入sshd添加后门远程代码执行
漏洞公开编号	CVE-2024-3094
昆仑漏洞库编号	CYKL-2024-004867
漏洞类型	后门	公开时间	2024/3/30
漏洞等级	严重	评分	10
漏洞所需权限	无权限要求	漏洞利用难度	低
PoC状态	已公开	EXP状态	存在
漏洞细节	已公开	在野利用	存在

1.1 漏洞描述

Liblzma是一个基础压缩库，在xz的上游tarball中，恶意代码存在于5.6.0与5.6.1两个版本。通过一系列复杂的混淆手段，liblzma的构建过程从源代码中的一个伪装测试文件中提取出一个预构建的对象文件，然后用它来修改liblzma代码中的特定函数。这个函数后续会攻击受害机器的ssh server进程sshd(systemd为sshd添加依赖liblzma)，劫持sshd的rsa_public_decrypt函数，当rsa公钥n满足一定条件时解密流量里的C2命令并执行。

1.2 影响版本

liblzma 5.6.0/5.6.1

1.3 特征标识

使用ldd检测/usr/sbin/sshd依赖是否存在liblzma.5.6.0.so/liblzma.5.6.1.so 如果存在这两个版本的依赖即该机器sshd已可以被此后门攻击。

2. 漏洞分析

受影响版本的liblzma会主动劫持sshd got表内的RSA_public_decrypt函数到Llzma_index_prealloc，但是实际上这个函数就是后门函数，跟lzma一点关系没有，实际执行逻辑为——

当公钥满足一定条件时，将发送流量解密并执行隐藏在流量中的C2命令并执行。

3. 漏洞检测与防护

• 检测方法

1）自动检测：赛博昆仑的“女娲”产品，目前已经支持对该漏洞的自动化检测。

2）手动检测：运行xz –-version，查看版本号是否是5.6.0或者5.6.1。

• 修复建议

    1）自动检测与防护：安装女娲客户端，并升级最新的漏洞情报和微补丁升级包。

    2）手动处理：新版本只加入了后门，建议手动直接回滚老版本。

• 技术业务咨询

    赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

联系邮箱：[email protected]

公众号：赛博昆仑CERT

4. 参考链接

• https://www.openwall.com/lists/oss-security/2024/03/29/4
• https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
• https://tukaani.org/xz-backdoor/

5. 时间线

2024年3月30日，官方发布预警

2024年3月30日，赛博昆仑CERT发布漏洞应急通告

2024年3月30日，赛博昆仑女娲产品支持该漏洞检测

2024年3月31日，赛博昆仑女娲产品发布该漏洞微补丁并推送给所有用户

赛博昆仑的女娲漏洞检测与修复平台，依托于赛博昆仑领先的漏洞研究和响应团队，基于RBVM思想为用户提供漏洞检测、漏洞验证、漏洞处置优先级排序、漏洞修复的完整漏洞运营闭环。

原文始发于微信公众号（赛博昆仑）：XZ开源项目的漏洞分析与应急