声明
我只是知识的搬运工,本文核心内容均来自于https://www.openwall.com/lists/oss-security/2024/03/29/4。我只是帮忙总结翻译下。
内部并无原创内容,不过应该比那些只知道吓人的公众号好点。
影响范围●影响包名:xz, xz-utils●版本:v5.6.0 v.5.6.1●恶意代码被植入在压缩包文件中。目前看来,Redhat Debian的发行稳定版,均不受影响。只有测试版受影响。对这些版本而言,只有单独下载了受影响的压缩包,手动编译安装,才会被植入后门。
-
Red Hat Enterprise Linux (RHEL) 不受影响
-
Debian stable versions 不受影响
-
Suse Stable 不受影响
-
Freebsd 不受影响
-
AWS Linux不受影响
-
Kali Linux 3月26日(包括)之后的版本受影响
-
Fedora 41 and Fedora Rawhide受影响
-
Debian unstable (Sid)受影响
-
Debian testing, unstable experimental发行版, 版本从5.5.1alpha-0.1(uploaded on 2024-02-01), 到5.6.1-1(包含),均受影响
排查方式
查Debian RPM包系列的Linux。
- 先看软件版本是否符合。如何不符合,安全。 - 然后看在不在官方的受影响操作系统版本里面。如果符合(说明直接预置了受影响的版本),挂了 - 如果不符合,跑下面那段检测小脚本,继续看下。
#! /bin/bashset -eupath="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"if [ "$path" == "" ]thenecho probably not vulnerableexitfiif hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410thenecho probably vulnerableelseecho probably not vulnerablefi
触发条件恶意代码植入限定了多个条件包括:●x86-64 Linux●构建Debian 或 RPM包以上条件是and的关系也就是说,只有Linux Debian RPM包才可能触发植入操作
利用方式●目前来看,恶意代码没有外连功能,所以无法通过ioc外连排查●通过ssh协议远程连接时,openssh会调用decrypt函数进行操作。该函数已经被恶意的lzma库进行了hook。从而攻击者可以未授权登录后门植入方式●下载xz 和 xz-utils的包后解压缩,执行configure●创建恶意的 liblzma的Makefile●在make时创建恶意的liblzmaDebian和一些Linux发行版中,openssh依赖systemd,systemd依赖lzma,进而导致,在ssh时会执行lzma中的恶意代码
处置建议
cisa建议downgrade到不受影响的版本。例如XZ Utils 5.4.6 Stable常见问题
Q:是不是只要看下自己的Linux系统在不在官方的通告里面就行了?
A:不是,谁知道你有没有手动装Q:我是mac,版本符合,受不受影响?
A:从目前掌握的原始信息来看,不受影响Q:是不是这个供应链确定只影响这两个库?A:不确定,因为我也不知道有没有傻逼代码库抄他们的代码,或引入他们的代码,或者在安装的时候依赖他们,从而触发那个后门植入条件
Q:你说了这么多,你觉得应该怎么查?
A:参照上面章节。 这个事情还在持续发酵中,建议持续跟进外面的官方权威信息。
其他这种程度的供应链攻击手法,持续,隐蔽。跟之前见到过的很多供应链攻击有明显不同,水平很高。
我很好奇是谁干的。参考文档●https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094●https://www.openwall.com/lists/oss-security/2024/03/29/4●https://nvd.nist.gov/vuln/detail/CVE-2024-3094
原文始发于微信公众号(落水轩):xz xz-utils供应链攻击CVE-2024-3094初步分析
评论