紧急排查!liblzma/xz官方库被植入后门

admin
admin
admin
140350
文章
117
评论
2024年3月31日00:39:48评论65 views字数 2370阅读7分54秒阅读模式

紧急排查!liblzma/xz官方库被植入后门

事件概要

xz是一种通用的数据压缩格式,几乎存在于每个Linux发行版中,无论是社区项目还是商业产品发行版。从5.6.0版本开始,在xz的上游tarball包中发现了恶意代码通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。

2024年3月28日,Ubuntu注意到一个上游的漏洞影响了xz-utils源代码包。受影响的库已经从Ubuntu 24.04 LTS预发布构建中移除。

3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,在开源安全邮件列表中发帖称,他在xz软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版的xz中没有恶意代码,只有完整下载包中存在。

xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。注入期间构建时使用的第二阶段工件存在于Git存储库中,以防存在恶意的M4宏。如果不合并到构建中,第二阶段文件是无害的。在发现者的演示中,发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,因为systemd链接到了liblzma。在适当的情况下,这种干扰有可能使恶意行为体破坏sshd认证,并远程未经授权访问整个系统。

截至3月30日,尚未观察到利用此后门代码的情况。关于该漏洞的利用细节目前还未明确,微步情报局将继续深入跟进该事件,有进一步进展会随时更新。
影响范围

xz 和 liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:

  • Fedora 41 / Fedora Rawhide
  • Debian Sid
  • Alpine Edge
  • x64 架构的 homebrew

  • 滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed

如果您的系统使用 systemd 启动 OpenSSH 服务器,您的 SSH 认证过程可能被攻击。
非 x64 (amd64) 架构的系统不受影响。
排查建议

1、排查软件版本是否在受影响范围内

可以在命令行输入 xz --version 来检查 xz 版本,如果输出为 5.6.0 或 5.6.1 ,说明您的系统可能已被植入后门。

外需要注意的是,xz 5.6.0 和 5.6.1 尚未被集成进Linux 发行版中,目前主要是在预发布版本中。除此之外,大部分的Linux发行版本中的openssh并不直接使用liblzma,目前已知的只有debian和一些openssh的补丁直接使用了liblzma。检测是否被植入后门请使用自查方法中的检测脚本。

2、如果相关版本在受影响范围内,利用如下自查脚本排查是否存在后门:

#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

3、如果核实存在相关后门文件:

目前官方已经更新最新版本,请升级至 5.6.4 版本。

微步漏洞情报
微步在线官方漏洞支持说明地址:https://x.threatbook.com/v5/vul/XVE-2024-6143?searchStr=XVE-2024-6143
紧急排查!liblzma/xz官方库被植入后门
参考地址

  • https://access.redhat.com/security/cve/CVE-2024-3094

  • https://bugzilla.redhat.com/show_bug.cgi?id=2272210

  • https://www.openwall.com/lists/oss-security/2024/03/29/4

  • https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

- END -

  //  

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:

  • 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;

  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;

  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;

  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新
扫码在线沟通
↓↓
紧急排查!liblzma/xz官方库被植入后门
紧急排查!liblzma/xz官方库被植入后门
点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

活动详情:https://x.threatbook.com/v5/vulReward

原文始发于微信公众号(微步在线应急响应团队):紧急排查!liblzma/xz官方库被植入后门

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月31日00:39:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   紧急排查!liblzma/xz官方库被植入后门https://cn-sec.com/archives/2615249.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息