关于 Linux XZ Utils 漏洞 CVE-2024-3094，您需要了解哪些信息？

开发人员发现了 Linux XZ Utils 中的一个严重漏洞，XZ Utils 是一种用于 XZ 格式压缩的命令行工具。此安全漏洞编号为CVE-2024-3094，可能允许未经授权的用户破坏 sshd 身份验证，从而可能打开完全远程访问系统的大门。

该漏洞的严重性达到了顶峰，其 CVSS 评分为 10 分。这意味着它有可能危害其影响的系统的完整性，从而在网络安全领域造成严重影响。

CVE-2024-3094 的起源； XZ Utils 漏洞是什么？

PostgreSQL 开发人员兼 Microsoft 软件工程师 Andres Freund 发现了 CVE-2024-3094 漏洞。他注意到 “liblzma”（ Debian sid 安装上 XZ 软件包的一个组件）中的异常行为。

CVE-2024-3094漏洞卡（SOCRadar漏洞情报）

这些异常情况，例如 SSH 登录期间 CPU 使用率过高以及 Valgrind 检测到的错误，促使我们进行彻底调查。最终，Freund 发现 XZ 存储库和下载的 tarball 都已被泄露，从而允许在软件中引入后门。

XZ Utils 源代码中插入的恶意代码被精心隐藏，以避免在常规 Git 存储库中检测到。在构建过程中，此恶意代码会注入一个预编译文件，该文件会修改 liblzma 库的关键组件。

因此，某些 Linux 发行版无意中将受损的 liblzma 库合并到其 SSH 实现中，使它们容易受到远程攻击者的利用。

导致 CVE-2024-3094 的事件时间表

Evan Boehs的一篇文章  提供了有关 Linux XZ Utils 中发现 CVE-2024-3094 漏洞的详细事件时间表。这一切都始于 “ Jia Tan ”于 2021 年创建 GitHub帐户，他最初对 libarchive 做出了承诺，后来因其潜在的恶意性质而被发现可疑。

2022 年，Jia Tan 通过邮件列表提交了补丁，标志着新角色 Jigar Kumar的加入，他因补丁的包含而受到压力。随后，Jia Tan 成为 XZ 的定期撰稿人，而 Jigar Kumar 则消失了。

XZ Utils 漏洞的起源 ( X )

该文章揭示了针对“oss-fuzz”代码测试项目通过源代码伪装、混淆技术和规避策略来隐藏恶意活动的尝试。它重点介绍了对 Google oss-fuzz 项目以及启用该漏洞的测试基础设施的重大更新。

后门代码策略性地仅嵌入在完整的 XZ 源代码包下载中，而不是标准的 Git 存储库中。此外，有迹象表明有人试图通过破坏“oss-fuzz”代码测试项目来避免检测。

本文还讨论了突然推动将易受攻击的版本纳入 Debian，以及来自匿名帐户的可疑活动。它指出随后贾坦的 GitHub 帐户被暂停，以及 Lasse Collin 为恢复贾引入的更改而采取的行动。

此外，本文还深入研究了 OSINT调查结果，包括来自 IRC 频道和 LinkedIn 个人资料的见解，揭示了与 Jia Tan 相关的潜在身份。最后，它讨论了 Git 日志中的发现，揭示了 Jia Tan 用户名的变化并推测了“Jia Cheong Tan”这个名字的起源。

哪些版本的 XZ Utils 受 CVE-2024-3094 影响？

该漏洞影响 XZ 库版本 5.6.0 和 5.6.1，其中经过精心混淆的恶意代码仅存在于可下载包中。

特别值得注意的是，Git 发行版中缺少编译恶意代码所需的 M4 宏。但是，假设已添加恶意 M4 宏，则存在构建时注入所需的第二阶段工件。这会导致创建一个受损的版本，该版本是专门为通过系统进行 sshd 身份验证而设计的。

主要 Linux 发行版对 XZ Utils 缺陷 CVE-2024-3094 的响应

Red Hat、Kali Linux、SUSE 和 Debian 都针对这一安全问题做出了回应，提供了指导和更新以减轻此漏洞带来的风险。

红帽已确定 Fedora 41 和 Rawhide 包含易受攻击的软件包，建议这些发行版的用户立即停止使用。值得注意的是，  Red Hat Enterprise Linux (RHEL) 版本不受影响。

Kali Linux 表示 ，该漏洞仅影响 3 月 26 日至 3 月 29 日之间更新的安装。强烈建议在此期间更新 Kali Linux 系统的用户及时应用最新更新以降低风险。

Debian 确认其发行版的稳定版本没有受到损害。然而，受影响的软件包确实渗透到了 Debian 测试版、不稳定版和实验版。建议这些版本的用户立即更新其 xz-utils 软件包。

CISA 提醒用户和管理员采取行动并解决 XZ Utils 漏洞

美国网络安全和基础设施安全局 (CISA) 已就此事发出警报 ， 建议开发人员和用户降级到未受影响的 XZ Utils 版本，例如稳定版本 5.4.6。

还建议对任何恶意活动迹象保持警惕，直接向 CISA 报告任何发现。

原文始发于微信公众号（OSINT研习社）：关于 Linux XZ Utils 漏洞 CVE-2024-3094，您需要了解哪些信息？