上周,微软工程师安德烈斯·弗洛因德(Andres Freund)发现了最新版本的“xz”工具和库中的后门问题。此漏洞被追踪为CVE-2024-3094,并获得了CVSS评分为10。红帽敦促用户立即停止使用运行Fedora开发和实验版本的系统,因为存在后门。XZ是一种流行的数据压缩格式,几乎所有Linux发行版中都实现了它,包括社区驱动和商业变体。研究人员发现的恶意代码被隐藏起来,只存在于下载包中。由于缺少触发恶意代码构建所必需的M4宏,Git发行版不包括恶意代码。恶意构建通过systemd干扰sshd中的身份验证。在某些条件下,攻击者可以破坏sshd身份验证并未授权地远程访问整个系统。CISA还发布了一份建议,敦促降级到未受损的XZ版本(即5.4.6稳定版)并搜寻任何恶意代码。
Binarly创建了一个免费的扫描工具来帮助行业减轻威胁,该公司指出他们使用的检测方法几乎没有误报率。公司表示,其他专家开发的大多数工具都侧重于简单的版本检查、基于哈希的检测后门组件或YARA规则的硬编码唯一字符串常量。这些后门检测方法可能导致误报。
该公司发布的咨询建议中写道:“为了通用检测这种植入,我们决定专注于使用我们的二进制情报技术进行ifunc转换行为分析。检测方法完全基于静态分析,我们在通用检测控制流图转换的篡改。这种检测方法可以暴露恶意ifunc解析器的植入期间的潜在控制流篡改。该技术是通用的,并且能够检测到其他软件供应链攻击中的不变量或有效载荷的重用。”XZ后门扫描器可免费在XZ.fail上获取,用户可以上传其二进制文件以检查潜在的后门植入。
原文始发于微信公众号(黑猫安全):Binarly发布了免费在线扫描器,用于检测CVE-2024-3094后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论