liblzma/xz 被曝植入后门，微软等厂商连夜排查

3月29日下午，liblzma / xz被曝遭植入后门，将有相当一部分的SSH版本受到该后门影响，迅速引发密切关注。据悉，微软公司连夜加班处理本次后门事件，主流云厂商加急排查风险和安全修复。

奇安信CERT第一时间发布了《liblzma/xz库被植入后门影响SSH事件紧急通告（CVE-2024-3094）》。通告称，有开发人员在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，进一步溯源发现SSH使用的上游liblzma库被植入了后门代码，恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma代码中的函数，该代码是XZ Utils软件包的一部分，链接到 XZ 库的任何软件都可以使用此修改后的代码，并允许拦截和修改与该库一起使用的数据。

奇安信CERT指出，liblzma/xz被植入源码级后门，渗透了多个Linux的较新发行版，在核心的远程管理工具SSH中被使用，可能影响大量的喜欢尝鲜的系统管理员的系统，对网络基础设施构成威胁，目前实际的影响范围还需要时间评估。

奇安信CERT通告提醒，目前已知XZ Utils版本5.6.0和5.6.1受到影响，恶意代码还不存在于XZ的Git发行版中，仅存在于完整的下载包中。已知的Linux发行版包括Fedora Rawhide、Fedora 41、Debian非稳定的测试版 5.5.1alpha-0.1 到 5.6.1-1等。

分析人士指出，本次影响范围虽然不及2021年的“核弹级漏洞”Apache Log4j2事件，但也充分爆露出数字世界中无处不在的漏洞和后门，给网络安全带来巨大的潜在威胁。

首次曝光该后门的为3月29日有开发人员在安全邮件列表上的发帖。该贴内容称，起先有人发现服务器上 sshd 出现异常资源占用的现象，一番排查发现竟然是从 xz 软件包里感染的后门程序。目前已知的后门存在于 v5.6.0 和 v5.6.1 版本。但是这个代码的提交人两年前就加入了项目维护，暂时不能确定之前的版本有没有问题。

据介绍，这个后门会篡改 Makefile 注入恶意脚本到 configure 里执行，从而在生成的代码里链接恶意的 .o。当满足一定条件，即当前进程是 /usr/sbin/sshd，不存在调试环境变量，配置了 LANG，就会触发后门逻辑。

该帖给出了一段快速检测后门是否存在的脚本，该恶意后门被分配了编号 CVE-2024-3094。

目前迹象表明，后门作者有选择地针对 linux 发行版下手。但这个 liblzma 可不只Linux上用。比如目前流行的 iOS 越狱环境，大部分 tweak 包还是以 .deb 格式发行，比较新的版本就用到了 lzma 作为压缩。

除此之外，近期有在 macOS 上使用 brew 安装过 xz 这个包应该也受影响，暂时不能证明有恶意行为：

后门，本质上是设计或开发者有意留下的可供特殊情况使用的系统漏洞，其如同“定时炸弹”，危害要远大于相当于开发人员无意之间留下的普通bug类漏洞。因此当前网络安全最突出矛盾之一就是软件供应链漏洞、后门难防。据奇安信统计，仅国内外应用最广泛的JAVA编程语言，就有近1500万个版本的JAVA开源组件，它们当中很多存在漏洞、后门等安全风险。

如何降低后门的危害？奇安信CERT建议：首先要加强系统本身的安全性，定期自查系统漏洞，降低系统被植入后门木马的可能；其次是加强系统内主机的安全监测，在系统被植入后门木马后，可以快速的发现并查杀；第三是定期开展员工安全意识培训，防止员工误下载后门木马，给攻击者提供可乘之机；最后是积极关注威胁情报信息，第一时间获取全球最新威胁动态，及时改进和优化安全策略，提前应对新型攻击。

原文始发于微信公众号（奇安信集团）：liblzma/xz 被曝植入后门，微软等厂商连夜排查