xz xz-utils供应链攻击CVE-2024-3094初步分析

admin 2024年3月30日23:22:29评论30 views字数 1957阅读6分31秒阅读模式

声明

我只是知识的搬运工,本文核心内容均来自于https://www.openwall.com/lists/oss-security/2024/03/29/4。我只是帮忙总结翻译下。

内部并无原创内容,不过应该比那些只知道吓人的公众号好点。

影响范围影响包名:xz, xz-utils版本:v5.6.0 v.5.6.1恶意代码被植入在压缩包文件中。目前看来,Redhat Debian的发行稳定版,均不受影响。只有测试版受影响。对这些版本而言,只有单独下载了受影响的压缩包,手动编译安装,才会被植入后门。

      • Red Hat Enterprise Linux (RHEL) 不受影响

      • Debian stable versions 不受影响

      • Suse Stable 不受影响

      • Freebsd 不受影响

      • AWS Linux不受影响

      • Kali Linux 3月26日(包括)之后的版本受影响

      • Fedora 41 and Fedora Rawhide受影响

      • Debian unstable (Sid)受影响

      • Debian testing, unstable experimental发行版, 版本从5.5.1alpha-0.1(uploaded on 2024-02-01), 到5.6.1-1(包含),均受影响

排查方式

查Debian RPM包系列的Linux。

 - 先看软件版本是否符合。如何不符合,安全。 - 然后看在不在官方的受影响操作系统版本里面。如果符合(说明直接预置了受影响的版本),挂了 - 如果不符合,跑下面那段检测小脚本,继续看下。

#! /bin/bashset -eu# find path to liblzma used by sshdpath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"# does it even exist?if [ "$path" == "" ]thenecho probably not vulnerableexitfi# check for function signatureif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi

触发条件恶意代码植入限定了多个条件包括:x86-64 Linux构建Debian 或 RPM包以上条件是and的关系也就是说,只有Linux Debian RPM包才可能触发植入操作
利用方式目前来看,恶意代码没有外连功能,所以无法通过ioc外连排查通过ssh协议远程连接时,openssh会调用decrypt函数进行操作。该函数已经被恶意的lzma库进行了hook。从而攻击者可以未授权登录后门植入方式下载xz 和 xz-utils的包后解压缩,执行configure创建恶意的 liblzma的Makefile在make时创建恶意的liblzmaDebian和一些Linux发行版中,openssh依赖systemd,systemd依赖lzma,进而导致,在ssh时会执行lzma中的恶意代码

处置建议
cisa建议downgrade到不受影响的版本。例如XZ Utils 5.4.6 Stable常见问题

Q:是不是只要看下自己的Linux系统在不在官方的通告里面就行了?
A:不是,谁知道你有没有手动装Q:我是mac,版本符合,受不受影响?
A:从目前掌握的原始信息来看,不受影响Q:是不是这个供应链确定只影响这两个库?A:不确定,因为我也不知道有没有傻逼代码库抄他们的代码,或引入他们的代码,或者在安装的时候依赖他们,从而触发那个后门植入条件
Q:你说了这么多,你觉得应该怎么查?
A:参照上面章节。     这个事情还在持续发酵中,建议持续跟进外面的官方权威信息。

其他这种程度的供应链攻击手法,持续,隐蔽。跟之前见到过的很多供应链攻击有明显不同,水平很高。
我很好奇是谁干的。参考文档https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094https://www.openwall.com/lists/oss-security/2024/03/29/4https://nvd.nist.gov/vuln/detail/CVE-2024-3094

原文始发于微信公众号(落水轩):xz xz-utils供应链攻击CVE-2024-3094初步分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月30日23:22:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   xz xz-utils供应链攻击CVE-2024-3094初步分析https://cn-sec.com/archives/2615779.html

发表评论

匿名网友 填写信息